Mailhosting bei Mailbox.org? Nicht für mich.

Zum Jahreswechsel habe ich beschlossen, es doch noch einmal zu probieren und mit meinen E-Mails von Google Workspace bzw. Office 365 zu einem Anbieter zu wechseln, der nicht nur seine Server, sondern auch seinen Firmensitz in der EU und eine gute Reputation als sicherer Anbieter von Mail-Dienstleistungen hat. Datenschutzfreundlicher – außer E-Mails selbst hosten, aber dazu habe ich eine Meinung – geht aktuell nicht.

In diesem Beitrag möchte ich über meinen Eindruck zu den Services des Mail- und Groupwareanbieters Mailbox.org berichten. Er war zu Beginn äußerst positiv, kippte aber mit der Zeit immer mehr in eine Abwärtsspirale, die mir genügend Drehmoment verschafft hat, um mich von meiner Idee der Mail- und Datenmigration zu Mailbox.org verabschieden zu können. Leider.

Zweifel: UI, Supportdogmatik und Kompatibilität

Meinem Vorsatz, meine Mails bei einem EU-Anbieter zu hosten, standen große Zweifel und schlechte Erfahrungen entgegen, die ich in drei Punkten zusammenfassen kann.

1. User Interface

Die Web-Oberfläche ist eine Zumutung, wirkt nicht ausgereift und ist daher für die tägliche Arbeit nicht geeignet. Damit ist nicht das Layout und das Erscheinungsbild (Screendesign) gemeint, sondern das Fehlen der selbsterklärenden Kraft eines implementierten User Interfaces.

In anderen Worten: Sobald man Tooltips, Hilfetexte oder gar eine Anleitung benötigt, um einfache Funktionen nutzen zu können, ist das User Interface (UI) in meinen Augen als unausgereift und die damit einhergehende User Experience (UX) als schlecht zu bewerten. Darunter leiden europäische Projekte erstaunlich häufig. Mir kommt es immer ein wenig so vor, wie wenn europäische Dienste aus teils sehr nerdigen Liebhaberprojekten erwachsen und somit nie in ihren Grundsätzen davon ausgehen, dass unbedarfte User ohne jegliches Vorwissen mit einem User Interface arbeiten müssen.

2. Voreingenommenheit und Ziel

Das Unternehmen und dessen Support verfolgen ein Ziel oder stehen einer Technologie bzw. einem System voreingenommen gegenüber – und das teilweise dogmatisch. Das verfolgte Ziel ist häufig nicht die Zufriedenheit der Kunden, sondern der manchmal sanfte, oft aber ganz offenkundige Versuch, bestimmte Verhaltens- und Denkweisen zu erzwingen.

Die Voreingenommenheit einem System gegenüber erkennt man nicht nur am User Interface und den dort gewählten Schalt- und Verwaltungslogiken, sondern auch an den Screenshots oder der Beiläufigkeit der Erwähnung bestimmter Technologien in den Anleitungen und Hilfedateien. In anderen Worten: Es wird sehr schnell klar, ob das Unternehmen, das die Services betreibt, ein Team hat, das ausgewogen mit macOS, Windows, Linux, iOS und Android arbeitet, oder eben nicht.

3. Kompatibilitätsprobleme

Sehr zu meinem Erstaunen gibt es nicht gerade selten irgendwo eine Einschränkung in Bezug auf die Kompatibilität/Interoperabilität mit externen Services und externer Software, die es nicht möglich macht, die Angebote so zu nutzen, wie man die Angebote der großen Anbieter wie Microsoft, Google, Fastmail usw. nutzen kann. Dazu gehören vor allem Schnittstellen oder allgemein anerkannte Protokolle. Was nützt mir der beste Mail- und Groupware-Service, wenn ich keine Möglichkeit habe, meine bisherige Software-Infrastruktur damit zu koppeln?

Dieser Punkt erstaunt mich immer wieder, denn gerade darin besteht doch die Chance, ein System auf den Markt zu bringen, das gut integriert und somit unabdingbar gemacht werden kann, oder etwa nicht? Ich habe nicht schlecht geschaut als mir wieder einmal bewusst wurde, dass die Unterstützung von zB IMAP und SMTP bei Office 365, Google Workspace und Fastmail besser (und überhaupt) vorhanden ist, bei einigen der europäischen Konkurrenzprodukte aber fehlt.

Auf den Punkt

Kurzum, meine Erfahrung mit europäischen Anbietern von Mail- und Groupwarelösungen ist nicht gerade die beste. Sie entspricht bislang leider dem, womit auch ein schweizer Politiker unverhohlen die Entscheidung seines Landes, staatliche Daten in die von chinesischen und amerikanischen Firmen betriebenen Cloudangebote zu transferieren, auf den Punkt gebracht hat: Es gibt einfach keinen europäischen […] Anbieter, der „den amerikanischen und chinesischen Firmen auch nur annähernd das Wasser reichen kann“.

Das ist leider auch meine Erfahrung, insofern war ich umso motivierter, den mit so viel Vorschusslorbeeren ausgestatteten Anbieter Mailbox.org zu testen.

Kriterienkatalog: Ansprechendes Interface, Sicherheit und Kompatibilität

Damit ich anhand eines Kriterienkatalogs arbeiten konnte und mich nicht von zu viel Marketingsprech ablenken lassen würde, habe ich für mich diesen Katalog zusammengestellt:

  1. Meine E-Mails müssen in der EU (besser noch in Österreich oder Deutschland) gehostet sein. Der Anbieter der Hostinglösung sollte bestenfalls seinen Firmensitz in der EU haben.
  2. Das System muss in puncto Sicherheit auf dem aktuellen Stand der Dinge und mit den gegenwärtig üblichen Tools (Passwortmanager, evtl. Hardware-Keys und dergleichen) nutzbar sein. Eigene (sowohl im Sinne von „selbst entwickelte“ als auch im Sinne von „eigenartige“ oder „ungewöhnliche“) Implementierungen oder proprietäre und nicht auditierte Systeme sind ein Knock-Out-Kriterium.
  3. E-Mails müssen unter meiner eigenen Domain gehostet sein.
  4. Das Web-Interface soll ansprechend und selbsterklärend sein. Einerseits in der alltäglichen Benutzung (zB Mails beantworten oder als Spam markieren), andererseits in den Einstellungen; nie soll ich mich darin verloren fühlen oder soll mir unklar sein, wo ich welche Einstellung mit welchen Auswirkungen setze.
  5. Die Möglichkeit, direkt über Standardprotokolle mit externen Applikationen auf meine E-Mails zuzugreifen und mit ihnen interagieren zu können, muss gegeben sein. Bridges und andere Programme, die man laden muss, um dann mit den E-Mails interagieren zu können, sind ein Knock-Out-Kriterium, weil externe Services (zb .

Sehr zu meinem Erstaunen reduzieren meine Kriterien die Anzahl der Dienste, die sie überhaupt erfüllen können, ganz drastisch. Besonders schade ist, dass auf Datenschutz fokussierte Anbieter aus Deutschland so schlecht dastehen (oder ich sie einfach nicht kenne). Was ist da los? Wollt ihr alle Unternehmen früher oder später bei Office 365 und Google Workspace sehen?! Und das, obwohl euch zumindest schon einmal die österreichische Datenschutzbehörde mit ihrer Entscheidung gegen Google Analytics so entgegenkommt?

Bleibt also Mailbox.org. Nun gut, dann sehen wir uns also Mailbox.org an!

Services von Mailbox.org: the good.

Vorbelastet wie in der Einleitung beschrieben, aber von sehr positiven Berichten über den deutschen Anbieter Mailbox.org neugierig gemacht, habe ich mich für ein Testkonto angemeldet. Das geht wirklich einfach, problemlos und schnell.

Website & Portal

Der erste Screen, mit dem man nach der Anmeldung konfrontiert wird, ist das Portal.

Mailbox.org: Portal

Es ist aufgeräumt und kann, rechts oben gibt es einen dementsprechenden Link dazu, personalisiert werden. Das passt also gut. Es ist für mich aber nicht wirklich relevant, denn ich werde die Weboberfläche nur sehr selten benutzen; ich werde meine E-Mails überwiegenden über meine Mail-Apps abrufen.

E-Mails

Im ersten Widget des Portals werden der Posteingang und darin befindliche E-Mails angezeigt. Ich klicke auf das erste E-Mail und erwarte mir, in den E-Mail-Modus zu wechseln, wo ich das E-Mail lesen und bearbeiten kann. Das passiert nicht. Stattdessen öffnet sich eine Art Pop-Up-Fenster, was – so mein persönliches Empfinden – ein designmäßiger Wink aus den späten Neunzigern ist und nicht meiner oben beschriebenen Erwartungshaltung entspricht.

Mailbox.org: E-Mail Vorschau

Das tut aber nichts zur Sache, denn ich kenne genug Personen, die mit solchen Popups gerne arbeiten, daher bitte ich all diejenigen, die mein ästhetisches Empfinden nicht mit dem ihren in Einklang bringen können, diese, meine Anmerkung vollständig zu ignorieren. Außerdem ist die Optik, ich habe oben schon beschrieben, warum, in dem Fall ohnehin egal.

Ich habe dieses Popup-Fenster dann weggeklickt und auf die Überschrift des Widgets „Posteingang“ geklickt. Da passiert nichts. Man muss schon auf das Brief-Symbol in der grünen Leiste oben klicken, damit man in den Posteingang kommt. Der wird dann angezeigt und macht einen guten, soliden und aufgeräumten Eindruck. Das ist ein großer Pluspunkt für Mailbox.org. Kein Schnickschnack, eine in drei Panele geteilte Oberfläche (Ordner, Betreff, Inhalt), saubere Anordnung der E-Mails, die wesentlichsten Funktionen gut sichtbar, zusammengefasst: absolut top!

Mailbox.org: Posteingang

Auch alle Möglichkeiten zur Bearbeitung von E-Mails funktionieren gut, hier gibt es nichts zu meckern. Auch wenn es nur sehr selten so sein wird, weiß ich jetzt schon, dass ich hier, in der Weboberfläche, E-Mails gut lesen und bearbeiten kann, sollte der unwahrscheinliche Fall eintreten, dass ich keinen Zugang zu einem meiner Geräte habe, auf denen meine Mail-Applikation installiert und konfiguriert ist.

Kalender, Kontakte, To-Do-Liste und Cloudspeicher

Vorrangig habe ich das Testkonto bei Mailbox.org angelegt, um die E-Mailfunktion zu testen. Kalender, Kontakte, To-Do-Listen usw. sind mir relativ egal. Aber – das muss gesagt sein – sie machen allesamt auf den ersten Blick einen guten und aufgeräumten Eindruck, der meinem Eindruck der E-Mail-Oberfläche entspricht.

  • Der Kalender ist sauber und unterscheidet sich auf den ersten Blick kaum von den Marktführern Office 365 oder Google Workspace. (Ich habe den Kalender nicht näher getestet, also weiß ich nicht, ob er alle wesentlichen Funktionen anbietet, die die eben genannten auch anbieten.)
  • Das Adressbuch ist aufgeräumt und verfügt auch über alle notwendigen Funktionen.
  • Wie auch schon beim Kalender, sieht die Aufgabenverwaltung („To-Do“) toll aus und spielt funktional – auch das bitte als mit dem Zusatz „auf den ersten Blick“ zu verstehen – alle Stücke.
  • Die Oberfläche für den Cloudspeicher, der in allen kostenpflichtigen Plänen bei Mailbox.org nahezu lächerlich niedrig angesetzt ist, ist in Ordnung und erinnert mich an das User Interface, das man bei GMX vorgesetzt bekommt. Aber das ist in Ordnung.

Okay, soweit. Den Kalender könnte ich mir durchaus näher ansehen und überlegen, ob ich ihn nicht vielleicht doch nutze, ebenso das Adressbuch und die Aufgabenverwaltung. Geplant ist es nicht, ich benötige nur einen Mail-Anbieter und mit dem würde ich ohnehin nur über die Mailempfangs- und Sendeprotokolle IMAP und SMTP interagieren. Es ist aber gut zu wissen, dass diese über die Mail-Funktion hinausgehenden Dienste offenbar gut implementiert sind und einen sauberen Eindruck machen.

Erweiterte Groupware-Funktionen bei Mailbox.org: the bad.

Nach den sehr positiven Eindrücken der Darstellung und Implementierung von Mail, Kalender, Aufgabenliste und Adressbuch, nun die etwas weniger gut gelungenen Services, die aber heute kaum mehr wegzudenken sind.

Chat: Srsly?

Ich persönliche nutze die Chat-Funktion bei Office 365 oder Google Workspace praktisch gar nicht und wenn überhaupt, dann nur, um irrelevante, interne Nachrichten zu versenden. Diese Funktion habe ich im Jahr 2021 so selten benutzt, dass ich die paar Male, wo ich sie benutzt habe, wohl an einer Hand abzählen kann. Aber jetzt bin ich in einer Testphase, also sehe ich sie mir natürlich an, die Chat-Funktion, die Mailbox.org mit sich bringt. Und da knickt der gute Eindruck zum ersten Mal ganz massiv ein.

Der Screen, mit dem man konfrontiert wird, wenn man auf das Chat-Symbol klickt, ruft ein großes Fragezeichen bei mir hervor: Was soll das?

Mailbox.org: Chat

Ich weiß, was XMPP ist, ich weiß, was ich hier tun müsste, um mit dem Chatten beginnen zu können, aber so ein User-Interface im angemeldeten Zustand in meiner Groupware ist ein so dermaßen großes No-Go, dass ich gar nicht weiß, was ich jetzt noch dazu schreiben soll. In Google Workspace oder im leidigen Chat in Office 365 ist man sofort angemeldet und kann gleich loslegen. Bei Mailbox.org ist man mit einer Anmeldemaske konfrontiert… das geht in meinen Augen gar nicht und ist ein sehr grober Schnitzer in dem bislang aufgeräumt, selbsterklärend und logisch wirkenden User Interface.

Außerdem ist dieser Screen für Administratoren eines solchen Systems wohl Supportaufwand ohne Ende und Grund für Telefonanrufe, wenn man das System Freunden oder Bekannten empfohlen hat. Was muss ich hier eingeben? Wie ist mein Login? Wo bekomme ich mein Passwort? Albtraum!

Es hat so gut begonnen und dann dieser Bastel-Aspekt einer als vollwertig beworbenen Groupwarelösung. Warum? Wenn ich keinen Chatservice aufbauen und komplett integrieren kann, dann lasse ich es doch, oder?! Aber ruhig Blut! Ich habe mir die Chatfunktion ja nur angesehen und ich habe nicht vor, sie zu nutzen. Ich benötige nur die E-Mail-Funktion und die auch nur über meine lokale Mail-App. Ich tu weiter. Wollen wir doch mal diesen Patzer ignorieren.

Videokonferenz: LOL.

Ich klicke auf das Kamerasymbol, um in den Reiter „Videokonferenz“ zu gelangen. Die Pandemie hat gezeigt, dass diese Funktion essentiell sein kann, und ich gehe davon aus, dass sie essentiell bleiben wird. Persönliche Meetings in lächerlich gebrandeten Räumlichkeiten sind ohnehin passé. Nicht, dass ich mich bei Mailbox.org angemeldet hätte, weil mich diese Funktion interessiert hat, aber wenn sie schon mal da ist, sehe ich sie mir also an.

Was erwarte ich mir? In Office 365 bzw. Google Workspace wird sofort eine Videokonferenz erstellt und ich erhalte die Option, Gäste (oder Mitglieder meiner Organisation) einzuladen; ein oder zwei Buttons, hier ein Direktlink und los geht’s. Das Komplexitätslevel ist gleich Null. Bei Mailbox.org sieht der Screen so aus (ja, das Styling ist tatsächlich so).

Mailbox.org: Videokonferenz

Ich traue meinen Augen nicht. Das muss ein Fehler sein. Ich lade die Seite neu. Es ändert sich nichts. Ich merke, wie meine Sympathien gegenüber Mailbox.org gerade rapide schwinden. Die können doch wohl nicht allen Ernstes von mir verlangen, dass ich ein Videokonferenzsystem benutze, das mit so einem Start-Screen daherkommt?! Und nein, ich bin kein Lehrer – und niemand kann mir weismachen, nicht auch als erstes die Frage „Sie sind Lehrer*in?“ gelesen zu haben. Richtig? Eben. Genau hier liegt das Problem! – und nein, ich lese euren Textwulst da oben nicht. Ich bin einen „Jetzt starten“-Button gewohnt und den sehe ich nicht. #fail

Würde ich den Textwulst aber lesen – und natürlich habe ich ihn gelesen, aber auch nur noch, weil ich nicht wegsehen konnte -, so würde ich feststellen, dass diese Oberfläche das noch am wenigsten Komplizierte am Abhalten einer Videokonferenz ist. Es geht noch viel komplizierter. (Meine Gedanken in eckigen Klammern.)

Beim Erstellen eines neuen Raumes erhalten Sie zwei Passwörter. [Was? Wie? Zwei Passwörter?!] Geben Sie nur das Teilnehmer Passwort an die anderen Teilnehmer weiter. Loggen Sie sich selbst mit dem Moderatoren-Passwort ein. [Bin schon weg, das ist zu kompliziert.] Auf diese Weise stellen Sie sicher, dass Sie die Kontrolle über den Raum behalten. [Wie bitte? Ich kann die Kontrolle über meinen Konferenzraum verlieren?!] Sollen auch andere Personen moderieren können, geben Sie diesen ebenfalls das Moderatorenkennwort zum Einloggen.

Das ist in meinen Augen keine Anleitung, das ist eine Absprung-Garantie. Ein sicherer Weg, dass Personen, die es ehrlich versuchen und einem Unternehmen wie Mailbox.org eine Chance gegen Office 365 oder Google Workspace geben wollen, nach maximal 2 Minuten bei Skype, Google Meet, Teams oder Zoom landen. Und dass mir in einem ohnehin schon so komplizierten Screen dieser leidige Text mit der Frage „Sie sind Lehrer*in?“ gezeigt wird, trägt noch mehr zur Verwirrung bei. Das ist nämlich ein irreführender Eye-Catcher. In anderen Worten: Dieser Screen ist für mich eine Absprung- und Anbieterwechsel-Garantie.

Aber gut, denke ich mir, sei’s drum. Ich benötige nur das Mailhosting. Und meine E-Mails rufe ich sowieso über eine lokale Mail-App ab. Ist es halt Zoom, Skype, Google Meet oder ein Microsoft Teams-Call. Das tut zwar meiner Intention – Stichwort Datenschutz und europäischer Anbieter – nicht gut, aber ich muss auch damit arbeiten können und nicht meine Zeit in Supportdokumenten, FAQs oder Hilfeseiten verbringen. Egal, denke ich mir, Mail it is, also weiter!

Brechen mit Gewohntem – Einstellungen auf Mailbox.org: the ugly

Einen ganz entscheidenden Bereich habe ich mir bei Mailbox.org noch nicht angesehen: Die Einstellungen. So banal das klingt und so wenig man diesen Bereich in der alltäglichen Arbeit mit einem System benötigt, so wichtig und wesentlich ist er allerdings, um Konfigurationsfehler, die mittlerweile am häufigsten für Sicherheitslücken und andere, auf die Sicherheit bezogene Probleme verantwortlich sind, zu vermeiden.

Einstellungen: OMG

1Password zeigt mir an, dass Mailbox.org die Zwei-Faktor-Authentifizierung unterstützt (sehr großer Pluspunkt!), also will ich sie auch gleich aktivieren. Immerhin ist dann der Zugang zum System gut abgesichert und ich kann in Ruhe und sorgenfrei meine E-Mails über meine Mail-Applikation abrufen.

Für gewöhnlich aktiviert man diese Authentifizierungsart in den Konto-Einstellungen, also klicke ich aufs Zahnrad. Womit ich konfrontiert werde, hat mich hart in der Realität aufschlagen und den eingangs erwähnten, schweizer Politiker in meinem Ohr sehr, sehr, sehr laut werden lassen. So sieht der Screen „Einstellungen“ bei Mailbox.org aus. 44 Menüpunkte (Untermenüs nicht mitgezählt!) auf einem lieblos zusammengebastelten Screen, den ich persönlich als Zumutung empfinde.

Mailbox.org: Einstellungen

Hier ist mir viel zu viel auf viel zu engem Raum abgebildet. Hier verliere ich den Überblick, hier kenne ich mich nicht aus. Es gibt es zwar so etwas wie eine Gruppierung, aber die ist in meinen Augen teils unlogisch und inhaltlich nicht konsistent. Man hätte sich bei Mailbox.org ein wenig an den Großen orientieren können.

Ich kenne mich nicht aus. Und wenn ich mich irgendwo nicht auskenne, dann fühle ich mich nicht sicher. Und wenn ich mich nicht sicher fühle, dann herrscht bei mir auch das Gefühl vor, dass dieser Service nicht sicher sei. Selten habe ich einen so dermaßen unübersichtlichen Einstellungsscreen bei einem Anbieter vorgefunden, der mit seinem Angebot Breitenwirksamkeit erreichen will.

Suche nach der Zwei-Faktor-Authentifizierung

Wir erinnern uns: ich will eigentlich nur die Zwei-Faktor-Authentifizierung aktivieren. Für gewöhnlich findet sich die zugehörige Einstellung in einem Hauptmenü (diese Menüpunkte sind bei Mailbox.org ganz links im Screen zu sehen) unter Konten oder Sicherheit; und wenn nicht da, dann im eigenen Profil. Zumindest ist das bei Gmail, Office 365 und praktisch allen anderen, halbwegs großen E-Mailanbietern so. Ich gehe nun systematischer vor und lasse mich vom ersten Eindruck und der Unmenge an Einstellungsmöglichkeiten nicht überwältigen.

  • Ich nutze die Suchfunktion des Browsers und gebe „Zwei“ ein, um das Wort „Zwei-Faktor-Authentifizierung“ zu finden. Keine Ergebnisse.
  • Ich nutze die Browsersuche abermals und gebe „Multi“ ein, um „Multi-Faktor-Authentifizierung“ zu finden. Ebenso keine Ergebnisse.
  • Ich nutze die Browsersuche ein drittes Mal und gebe „2fa“ ein, um die 2FA zu finden. Und wieder keine Ergebnisse.
  • Ich klicke auf Konten und hoffe, dort etwas zu finden. Dort kann man aber nur die E-Mailkonten bearbeiten und zum Beispiel einstellen, wie die Standardordner (Gesendet, Papierkorb, usw.) heißen sollen. Warum dieser Menüpunkt daher nicht unter „E-Mail“ einsortiert ist, weiß ich nicht.
  • Ich klicke auf Sicherheit, weil, nun ja, dort muss die 2FA ja wohl zu finden sein. Mitnichten! Dort kann man einstellen, ob man automatisch vom System abgemeldet werden soll und ob man das Laden externer Bilder in E-Mails erlauben und welchen Absendern man immer vertrauen will. Das gehört doch auch zu E-Mails, denke ich mir, warum ist das also ein Hauptmenüpunkt? („Sicherheit“ hat übrigens auch noch zwei Unterpunkte – Aktive Clients und mailbox.org Guard. In den Aktiven Clients kann ich den Browser, mit dem ich angemeldet bin, sehen und was man unter mailbox.org Guard verstehen kann, weiß ich nicht, denn ich werde in diesem Reiter mit der Meldung „Vor dem Einsatz von mailbox.org Guard-Sicherheit müssen Sie ein Passwort für Ihre gesicherten Dateien einrichten.“ konfrontiert. Auch wieder eine so hilfreiche Anweisung wie beim Chat oder der Videokonferenz.)

Ich bin immer mehr überzeugt, dass dieses System gewachsen ist und nie einer gründlichen Revision unter dem Aspekt der Usability unterzogen wurde. Wenn man Einstellungen im Einstellungsfenster selbst erklären muss und sie nicht aus der Benutzung des Systems klar sind, dann stimmt doch etwas nicht, oder sehe ich das falsch? Ich zweifle und merke, dass mich das Suchen nach dieser banalen Einstellung irritiert und zu nerven beginnt. Ich will jetzt nur noch die 2FA finden und dann nichts wie raus aus diesem Interface!

Einatmen. Ausatmen. Überlegen: Ich habe beide Menüpunkte, die mir für die Zwei-Faktor-Authentifizierung plausibel erscheinen, angeklickt. Da war nichts. Ich wechsle zurück zum nichtsaussagenden Menüpunkt „mailbox.org“. Die vielen, vielen, sehr vielen Menüpunkte sind wieder da. Yeah. Not!

Nun prüfe ich in der zweiten Menüleiste (abermals links, diesmal aber im weißen Inhaltsbereich – ja, das ist in Wirklichkeit eine Hauptmenüleiste und keine Untermenüleiste!), ob dort vielleicht irgendetwas zu finden ist – und ja, ich werde fündig! Unter One Time-Passwörter findet sich endlich die Zwei-Faktor-Authentifizierung. Dazu gleich.

Ich darf aber zusammenfassend zum Thema „Einstellungen“ und zugehörige User Experience festhalten: Für mich persönlich ist so ein Screen das genaue Gegenteil von aufgeräumt und übersichtlich. Noch schlimmer: er schafft Verwirrung und Unsicherheit.

Aber auch das soll mir egal sein, denke ich mir, denn ich rufe meine E-Mails ja ohnehin über mein Mailprogramm ab, da werde ich mit diesem Screen nicht so viel zu tun haben. Nur noch die Zwei-Faktor-Authentifizierung aktivieren, die Backup-Codes und Applikationspasswörter erstellen und raus hier.

Zwei-Faktor-Authentifizierung (2FA)

Bevor ich gleich ins Detail gehe, bitte ich die werten Leserinnen und Leser sich kurz an die Einrichtung einer 2FA bei Gmail, Outlook, Office 365, Yandex, Yahoo oder sonstwo zu erinnern. Wie war das? Das Prozedere ist meiner Erfahrung nach immer gleich, die Logik dahinter auch. Fangen wir mit der Logik an. Wozu überhaupt 2FA?

Durch die Einführung eines „zweiten Faktors“ (neben dem selbst gewählten Passwort) wird die Wahrscheinlichkeit eines unrechtmäßigen Zugriffs deutlich gesenkt. Dieser zweite Faktor ist in den meisten Fällen ein von einer Applikation in regelmäßigen Zeitintervallen (meist alle 20 Sekunden) neu generierter, numerischer Code. Die Anmeldung erfolgt dann mit dem Passwort und zusätzlich mit eben diesem zweiten Faktor.

Bitte zieht nun die Vorhänge zu und lehnt euch zurück, wir sehen uns ein kurzes Lehrvideo zum Thema an.

Dass die Zwei-Faktor-Authentifizierung einige weitere Maßnahmen benötigt, liegt auf der Hand. So muss man beispielsweise externe Dienste und Programme (wie zum Beispiel ein Mailprogramm) mit eigenen, vom Rest des Systems im Notfall abkoppelbaren Anmeldedaten, die ohne zweiten Faktor funktionieren müssen, ausstatten. Dieses Problem lösen praktisch alle großen Anbieter so, dass man applikationsspezifische Passwörter, die im besten Fall auch noch nur für Teildienste konfiguriert werden, generieren kann.

Ein Beispiel: Ich benötige für mein Buchhaltungssystem die Möglichkeit, E-Mails versenden zu können. Es muss E-Mails nicht abrufen können und braucht auch keinen Zugriff auf meinen Kalender. Also melde ich mich (mit meinem Master-Passwort und dem generierten 2FA-Code) bei meinem Mailprovider an, generiere dort ein applikationsspezifisches Passwort, das nur für den Mailversand gültig ist, und trage dieses in meinem Buchhaltungssystem ein. Sollte es kompromittiert werden, kann ich über meinen Mailprovider dieses spezifische Passwort löschen und der Zugang für das Buchhaltungssystem ist – ohne andere Services zu unterbrechen – sofort gesperrt. So wird das für jeden Dienst und jedes Programm, das Zugriff auf meine E-Mails benötigt, gemacht: Handy verloren? Kein Problem: App-Passwort für „Mail auf iPhone“ löschen. Fertig. Laptop gestohlen? Gleiches Prozedere. Software, bei der man es sich nochmal überlegt, ebenso.

Soweit zur Theorie. In der Praxis kann so ein System in den meisten Fällen sehr leicht und einfach aktiviert werden. In den meisten Fällen sieht das Aktivierungsprozedere in etwa so aus:

  1. Anmelden beim jeweiligen Dienst und in „Mein Konto“ oder „Sicherheit“ wechseln.
  2. Dort auf den (meist Sub-) Menüpunkt „Zwei-Faktor-Authentifizierung“ klicken und mit einem QR-Code konfrontiert werden. (Alternative: Mobiltelefonnummer für 2FA per SMS. Ist aber nicht empfohlen, also QR-Code!)
  3. QR-Code (mit der dementsprechenden App) scannen und den generierten Code in ein Verifizierungsfeld kopieren.
  4. Backup-Codes herunterladen, speichern und somit die 2FA aktivieren.
  5. Nun gibt es in den meisten Fällen einen neuen Menüpunkt, wo man applikationsspezifische Passwörter generieren kann. Dort gibt man eine Bezeichnung ein (zB “ Buchhaltungssystem“) und erhält ein neues (zusätzliches) Passwort, das eben für eine Applikation spezifisch generiert wurde (und bestenfalls auch für die Nutzung in einem Teil-Dienst konfiguriert ist).

Die 2FA ist ohnehin eine nicht gerade leicht zu verstehende Methode der Authentifizierung, die Aktivierung sollte also so einfach wie nur irgendwie möglich sein, die Benutzung ebenso. Und wie sieht es mit eben dieser aus?

  1. Ich rufe die Login-Seite des Services mit aktivierter 2FA auf.
  2. Ich gebe meinen Login (meist die Mailadresse) und mein Passwort ein. Anschließend klicke ich auf auf Weiter.
  3. Nun kommt entweder ein weiteres Feld oder ein neuer Screen, wo ich meinen von der 2FA-App generierten Code eingeben kann. Ist er eingegeben, klicke ich auf Weiter.
  4. Ich bin nun angemeldet. Das war’s.

Ich denke, ich kann behaupten, dass die meisten dieses Prozedere auch so kennen. Es ist gelernt und die größten und potentiellen Gefahren massiv ausgesetzten Services setzen sie so oder dem Beschriebenen sehr ähnlich ein. Nicht so Mailbox.org. Dort ist alles ein wenig anders. Viel anders. Ganz, ganz anders, eigentlich.

2FA bei Mailbox.org: ganz, ganz anders

Mailbox.org bietet die Zwei-Faktor-Authentifizierung anders als alle (!) Mail- und Groupwareservices, die ich kenne, an. Einerseits ist die Aktivierung (im Vergleich zu zB Office 365, Google Workspace oder Fastmail) deutlich komplizierter, andererseits ist auch die Funktionsweise und die Implementierung eine andere.

Während sich Fastmail, Google und Microsoft bemühen, Komplexität von ihren Userinnen und Usern fernzuhalten, sieht der Screen „One-Time-Passwörter“ bei Mailbox.org so aus.

Mailbox.org: One Time-Passwörter

Mein erster Gedanke, mittlerweile schon etwas genervt von der unnötigen Komplexität und der Zeit, die mir davonläuft, weil die Einstellungshierarchie und -logik so dermaßen undurchsichtig ist und jeder Screen, den man anklickt noch mehr Fragezeichen vor meinem geistigen Auge produziert als der vorherige: Wo ist der QR-Code, den ich (wie sonst überall) scannen kann? Warum muss ich eine Pin (sic!) eintragen? Was ist das OTP-Sicherungslevel, die OTP-Methode und warum gibt es einen OTP Passwort Test. Und – überhaupt ganz schlimm – warum ist der Hinweis da unten rot eingerahmt?! Habe ich bereits jetzt schon etwas falsch gemacht?

Ich klicke auf das Auswahlfeld „OTP-Sicherungslevel“. Dort gibt es 3 Auswahlmöglichkeiten:

  1. Aus, nur normale Passwörter verwenden.
  2. Webinterface OTP, alles andere Passwort.
  3. OTP nur für Webinterface, alle anderen Dienste aus.

Aha. Die User Experience hier ist für mich mit stetig steigender Frustration verbunden. Ich kann mir erklären, dass „Aus“ einfach nur „Deaktivieren/deaktiviert“ bedeutet und es eben keine 2FA gibt. Ich habe aber auch das ungute Gefühl, dass die beiden anderen Auswahlmöglichkeiten nicht das tun, was ich will (und oben als gelerntes Verstehen einer 2FA beschrieben habe). Ich mache also das, was UX-Spezialisten vermutlich einen UX-Supergau nennen würden: Ich lese den Text da oben im Bild, um zu verstehen, was man auf diesem Screen eigentlich von mir will.

Mit einer 2-Faktor-Authentifzierung bestehend aus einem PIN-Code („Wissen“) und einem One Time-Passwort aus sog. Token-Generatoren wie Google Authenticator, FreeOTP, OATH oder Yubikey können Sie sich jederzeit sicher bei mailbox.org einloggen.

Bitte lesen Sie zuerst unsere Anleitung Zwei-Faktor-Authentifizierung einrichten.

Wenn Sie einen bei mailbox.org direkt gekauften YubiKey verwenden identifiziert sich dieser gegen einen YubiKey-Dienst der direkt bei mailbox.org läuft. Ein aus anderen Quellen beschaffter YubiKey authentifiziert sich gegen die weltweite YubiCloud.

What?

Ich will doch nur meinen QR-Code und nicht einen YubiKey. Mir ist doch völlig gleich, dass ich einen YubiKey bei Mailbox.org kaufen kann und dass nur der sich bei Mailbox.org registriert.

Ich.
Will.
Meinen.
QR-Code.
Bitte!

[Wem es bereits jetzt zu viel ist und wer sich – so, zumindest erging es mir – nun allein vom Lesen schon ein wenig beruhigen muss, hier entlang! Ich warte hier. Wir sehen uns in 4:19 Minuten wieder. Langsames und stetes Ein- und Ausatmen hilft. Ja, wirklich. Beruhigt? Okay, weiter geht’s.]

Ich habe den Überblick verloren. Ich weiß nicht, wo es den QR-Code gibt. Ich gehe daher alle Punkte noch einmal Schritt für Schritt durch. Ich habe doch schon so oft eine 2FA bei allen möglichen Diensten aktiviert. Wieso ist das bei Mailbox.org so dermaßen kompliziert?!

  • Pin. Kein Pflichtfeld, außerdem weiß ich ohnehin nicht, wofür das gut sein soll, also lasse ich das mal weg.
  • Wiederholen. Kein Pflichtfeld, also lasse ich das ebenso mal weg. Vermutlich soll man hier den Pin – also eigentlich PIN – bestätigen. Eigenartig, weil es ja kein Pflichtfeld ist, aber egal.
  • OTP-Sicherungslevel. Ich wähle die Option „Webinterface OTP, alles andere Passwort“. Ein neues, rot eingerahmtes Feld erscheint: „Führen Sie vor dem Speichern einen OTP Passwort Test durch. Generieren Sie ein One-Time-Passwort und geben Sie es im Feld OTP Passwort Test ein.“ Okay. Das sieht nach Fortschritt aus.
  • OTP-Methode. Ich kann mich hier zwischen „OTP-Generatoren und andere Yubikeys“ und „YubiKey von mailbox.org“ entscheiden. Nix will ich von Mailbox.org, also wähle ich die erste Option. (Side fact: Wenn man die zweite Option wählt, erscheint doch tatsächlich die Meldung: „Sie haben doch noch keinen Yubikey von uns… Bitte richten Sie sich zuerst einen YubiKey von mailbox.org ein, bevor Sie diesen hier aktivieren.“ – Leute, DANN ZEIGT MIR DOCH BITTE DIE OPTION GAR NICHT AN, wenn ihr das ohnehin wisst!)

Ich möchte jetzt niemandem vorenthalten, was man nun zu sehen bekommt. Ich habe an diesem Bild absolut nichts verändert (außer meine Mailadresse radiert). Der Screen sieht tatsächlich so aus. Ein Screen eines modernen E-Mail- und Groupware-Services, der es mit Google Workspace und Office 365 aufnehmen will. Ready or not, here we go!

Mailbox.org: OTP-Token

Dieses Interface ist… herausfordernd. Ab jetzt habe ich nur noch weitergemacht, weil ich mittlerweile beschlossen habe, (a) diesen Blogpost zu verfassen und weil ich der Hoffnung bin, dass der Blogpost (b) vielleicht den Menschen, die Mailbox.org betreiben, die Augen öffnet: das, was hier passiert, kann doch nur das genaue Gegenteil von positiver User Experience sein!? Das, was ich hier sehen kann, verunsichert und überfordert mich. Dieses Layout, dieses Design, diese unübersichtliche Liste von mit teils unbekannten Begriffen betitelten Reitern ist pure Überforderung für mich.

Ich besitze ein iPhone (und kein Android-Gerät), also beginne ich zu überlegen, welche der 4 (!) verbleibenden Möglichkeiten, wenn man alle Yubikey- und Token-bearbeiten-Reiter ausschließt, für meine Authenticator-App gültig sein könnte. Ich klicke mich also durch dieses graue Fremdelement inmitten eines weißen Screens und lese mir durch, was mir angezeigt wird. Ich habe die vier Screens, die ich betrachtet habe, unten in der Slideshow abgebildet. Was würdet ihr, liebe iOS-Userinnen und -User auswählen? (Android-Userinnen und User sind herzlich eingeladen, mitzuraten!)

  • OATH App
  • HOTP Token
  • TOTP Token
  • mOTP Token

Wer die Zwei-Faktor-Authentifizierung nutzen will, aber sich mit den verschiedenen Tokens und Keys, Algorithmen und Berechnungsmethoden nicht auskennt, ist hier aufgeschmissen. Ich habe keine Ahnung, was ich auswählen soll.

Ganz abgesehen davon, und ich erwähne das hier auch nur, bitte ich die werten Leserinnen und Leser sich diese Screens nochmals genau anzusehen! Hier wird in einem weiteren Megamenü – immerhin werden nur in dem kleinen, grauen Bereich, neun Menüpunkte angezeigt – Kraut und Rüben vermischt, denn abgesehen von den Optionen zur Auswahl eines Tokengenerators gibt es hier auch Steuerbefehle wie „Token deaktivieren„, „Token aktivieren“ oder „Token löschen„, die einfach in einer Auswahl mit angezeigt werden. 🤦‍♂️

2FA ohne RTFM? LOL. App-Passwörter: ROFL.

Ich wusste nicht weiter, also habe ich die Anleitung zur Einrichtung der Zwei-Faktor-Authentifizierung bei Mailbox.org aufgerufen. Zuerst wird irgendwas präsentiert, wo mir erklärt wird, was eine Zwei-Faktor-Authentifizierung eigentlich ist. Dann irgendwas, wo ich über Anwendungszwecke aufgeklärt werde. Dann eine Übersicht über die möglichen 2FA-Methoden bei mailbox.org. In Ordnung. Die abermalige Werbung für YubiKeys nervt, aber meinetwegen. Ich überspringe alle Kapitel und gehe direkt zu „Einrichten eines Softtokens“.

Der Text hier ist in meinen Augen etwas merkwürdig. Hier wird ganz selbstverständlich davon ausgegangen, dass ich – wir erinnern uns an die gelernte Funktionsweise eines One Time Passwords im Rahmen der 2FA bei praktisch allen anderen großen Anbietern – eine vierstellige PIN anlege. Na gut, ist in Ordnung. Ich weiß zwar nicht, wozu, aber sei’s drum. (Genau an dieser Stelle werden, so denke ich, alle Userinnen und User, die von ihren Administratoren gezwungen werden, Mailbox.org mit aktiver 2FA zu nutzen, „1234“ als PIN angeben.)

Dann erfahre ich endlich, was die zwei Optionen im Sicherungslevel bedeuten und ich ahne zum ersten Mal, dass 2FA bei Mailbox.org nicht das ist, was 2FA bei den großen Office-Diensten praktisch allen anderen, mir bekannten Services ist. Ich habe, der Dokumentation folgend, diese drei Möglichkeiten:

  1. Die 2FA komplett abzuschalten und mich mit meinem Login und Passwort sowohl über die Weboberfläche als auch über Verbindungsprotokolle wie IMAP und SMTP zu verbinden.
  2. Das Webinterface über die 2FA aufzurufen, aber die Verbindungsprotokolle nach wie vor mit meinem regulären Login und Passwort.
  3. Das Webinterface über die 2FA aufzurufen und alle Verbindungsprotokolle zu deaktivieren.

Das ist eigenartig. In meinen Augen sogar sehr eigenartig. Diese Funktionsweise der 2FA muss man erst einmal einem von Google Workspace oder Office 365 (oder sonst irgendeinem Dienst, der 2FA implementiert hat) kommenden User erklären. Das ist nicht schön. Ich sehe Probleme auf mich zukommen. Auch stellen sich bei mir erste Bedenken hinsichtlich der Sicherheit dieser Implementierung ein, denn applikationsspezifische Passwörter haben mir nicht erst einmal Sicherheit gegeben, wo die Sicherheit potentiell kompromittiert war; doch von ihnen ist hier nicht einmal die Rede.

2FA bei Mailbox.org nur für Mailbox.org. Literally.

Offenbar ist die 2FA-Implementierung bei Mailbox.org ausschließlich (!) auf die Web-Oberfläche bezogen. So, wie es aussieht, werde ich also mein Master-Passwort in meinem E-Mailprogramm hinterlegen müssen. Das habe ich nicht mehr getan, seitdem die großen Dienste die Möglichkeit einer 2FA eingeführt haben. Also seit mehreren Jahren schon.

Ich wähle also Option 2: Das Webinterface soll mit 2FA geschützt werden, die anderen Protokolle (IMAP, SMTP) über das reguläre Login und das Master-Passwort. Als OTP-Methode wähle ich „OTP-Generatoren und andere Yubikeys“. Und jetzt wird es richtig interessant, denn wir nähern uns dem Screen, der mich vorhin überhaupt erst auf die Hilfeseiten gebracht hat. Und was lese ich da? Was steht da in der Anleitung von Mailbox.org tatsächlich geschrieben? Ich kann es kaum glauben:

Erstellen Sie nun den für Ihr Gerät geeigneten Token. Dazu können Sie die Standardeinstellungen in der Regel nutzen.

Android: FreeOTP, Google Authenticator. Dieser kann auch von iPhone Nutzern mit der iOS OTP App genutzt werden.

Hilfeseiten Mailbox.org

In anderen Worten: Hey, User, wir geben euch einen Menüpunkt namens „Android“ und einen namens „iPhone“, aber auch wenn ihr mit einem iPhone auf unsere Service zugreifen wollt, wählt doch bitte den Menüpunkt „Android“ aus.

Ich persönliche fühle mich veräppelt. Und abgesehen von dem Android/iOS-Gemenge wird, obwohl es ein durchaus nicht unwesentlicher Punkt ist, mit keinem Wort darauf eingegangen, ob man als Tokentyp den ereignis- oder den zeitbasierten wählen soll. Ich habe mich daher nach dem Screenshot gerichtet und das ausgewählt, was dort ausgewählt ist: ereignisbasiert.

One Time Passwort und Backup-Codes: Fragen über Fragen

Einmal eingestellt, kann ich einen QR-Code generieren, den ich mit Google Authenticator, Microsoft Authenticator oder jeder anderen App, die mit 2FA-Codes umgehen kann, nutzen kann. Jeder? Nicht ganz. Sehr zu meinem Erstaunen kommt 1Password mit dem QR-Code nicht klar. (Stellt man allerdings von „ereignisbasiert“ auf „zeitbasiert“ um, funktioniert es auch mit 1Password. Habe ich damit potentiell die Sicherheit des Tokens geschmälert oder hiermit eine Einstellung vorgenommen, die potentiell problematisch sein könnte? Ich weiß es nicht. Finde ich darauf im Screen selbst eine Antwort? Nein. Habe ich nun das Gefühl, unsicherer zu sein? Ja, definitiv.)

Wo bekomme ich nun Backup-Codes? Wie kann ich mich absichern, falls dieser Code nicht generiert werden kann? Oh! Moment! Ich muss wieder nach oben scrollen (!) und dort den von meiner 2FA-App generierten Code bei „OTP Passwort Test“ eingeben. Na dann mache ich das doch einmal, während ich mich wundere, wem es eingefallen ist, in einem User Interface den Ablauf nicht geradlinig (nach unten), sondern so zu konstruieren, dass ich nach unten und dann wieder nach oben scrollen muss, um den Prozess abzuschließen.

Der Test ist positiv und das erfahre ich, in dem sich der Text in einer der beiden rot umrahmten Boxen (!) unter dem Eingabefeld (!!) ändert in: „OTP Passwort Test erfolgreich. Sie können speichern.“

Jetzt erst lese ich, was drunter steht: „Hinweis: Bitte loggen Sie sich nach dem Speichern aus und wieder ein, damit Ihre Änderungen übernommen werden können.“

Na gut, dann tun wir das einmal.

Anmelden mit aktivierter 2FA: Alles anders

Ich melde mich folgsam ab und lande auf der Loginseite von Mailbox.org. Ich bin schon wirklich gespannt, wie die 2FA umgesetzt ist. Sicher nicht so, wie man es von sonst überall gewohnt ist.

Ich werde nicht enttäuscht, denn es gelingt Mailbox.org abermals, mich zu überraschen. Nachdem ich nämlich meine Daten von 1Password habe einsetzen lassen, wurde ich mit dieser Fehlermeldung konfrontiert.

Mailbox.org: 1Password-Login mit aktiver Zwei-Faktor-Authentifizierung

Ich habe nocheinmal mein Passwort mit dem in 1Password gespeicherten verglichen. Es stimmt überein. Irgendwas passt also nicht. Ich bin mir nicht darüber bewusst, dass ich es geändert hätte.

Ganz abgesehen davon, sehe ich nirgendwo einen Hinweis darauf, wo ich hier meinen zweiten Faktor, also den von meiner 2FA-App generierten Code eingeben kann. Für gewöhnlich steht „Login“ erst da, wenn man „Weiter“ geklickt hat, um den 2FA-Code einzugeben. Nicht so bei Mailbox.org, da steht sofort „Login“.

Wie melde ich mich bei Mailbox.org mit aktivierter 2FA an?

Nach noch einem weiteren fehlgeschlagenen Anmeldeversuch habe ich abermals die Hilfeseiten aufgerufen. (Nota bene: Ich habe etliche Jahre Erfahrung mit Web-Services und rufe zum ersten Mal in meinem Leben notwendigerweise die Hilfeseiten eines Services auf, um herauszufinden, wie ich mich hier anmelden kann!) Auf den Hilfeseiten gibt es sogar ein eigenes Kapitel zu „Das erste Einloggen beim mailbox.org-Office mit PIN und Einmalkennwort“. Ich ahne Schlimmes und befürchte abermals eine ungewollte Überraschung.

Der erste Satz der Online-Hilfe im Kapitel zum Anmelden mit aktivierter 2FA ist ein Augenöffner:

Beachten Sie bitte, dass PIN und OTP Token hintereinander ins Passwortfeld eingegeben werden müssen.

Im Bildschirmabzug [damit ist, nur, falls das jemand liest, der nach 1960 geboren wurde, ein „Screenshot“ gemeint] wird dargestellt, dass zuerst die 4-stellige PIN und ohne Leerzeichen direkt dahinter das (von Ihrem YubiKey oder Token) generierte Einmalkennwort eingegeben werden muss. (PIN+Token im Feld „Passwort“)

Noch einmal, in eigenen Worten mit dementsprechendem und zur Verdeutlichung selbst erstelltem Screenshot. Die Zwei-Faktor-Authentifizierung bei Mailbox.org ergänzt das Passwort nicht, es ersetzt das Passwort durch eine Kombination (!) aus der selbstgewählten, vierstelligen PIN (ich will gar nicht wissen, wie oft hier „1234“ genutzt wird) und dem Einmalpasswort, die nacheinander eingegeben werden müssen.

Mailbox.org: Login mit 2FA ersetzt das Passwort und ergänzt es nicht

Formal sind alle Bedingungen für eine 2FA erfüllt. Die 2 Faktoren sind vorhanden: Wissen (PIN) und Haben (Einmalpasswort). Aber dass diese Anmeldung so dermaßen von den gewohnten Interfaces abweicht und somit den Einsatz von Passwortmanagern verunmöglicht ist für mich ein Knock-Out-Kriterium. Das war’s, Mailbox.org, wir werden keine Freunde mehr.

Nicht nur ich zweifle…

Diese Implementierung einer 2FA ist schon sehr eigen und sorgt nicht nur bei mir, sondern auch bei einigen anderen für Verwirrung und Unsicherheit. Ein paar Beispiele:

In vielen dieser Threads werden die Bedenken derjenigen, die sie gestartet haben, beiseite geschrieben oder für nichtig erklärt. Auch andere Userinnen und User kämpfen mit dieser, in meinen Augen und unter Berücksichtigung gewohnter Services sehr spezifischen Implementierung, wie aus den Forumsbeiträgen hervorgeht. Ich fühle mich bei Mailbox.org nach so tollen ersten Eindrücken gar nicht mehr wohl. Und applikationsspezifische Passwörter, Backup-Codes und andere, sonst übliche Schutzmechanismen habe ich bislang noch gar nicht gefunden.

Vielleicht würde ich, hätte ich tiefergehendes Wissen zum Thema Security, den Service haushoch loben und sofort mit der Mailmigration starten. Immerhin, Security ist ja das Thema und die DNA der Macher von Mailbox.org, so sie selbst über sich. Und sie reagieren dementsprechend auch auf Fragen und Kritik. Ein User, der für unterschiedliche Geräte, die er im Einsatz hat, gerne applikationsspezifische Passwörter hätte (und auf Mitbewerber verweist, die das alle so zur Verfügung stellen), bekommt da zum Beispiel die folgende Antwort:

Schön, wenn einige Mitbewerber das so machen. Toll, wenn ihre Kunden das schnupsi finden. Kann auch sein, daß Mitbewerber von vornherein alle Nutzerdaten nicht in LDAP, sondern in SQL-Datenbanken speichern wo jeder alles lesen darf und das Sicherheitslevel ein ganz anderes ist. […] Für uns kommt das nicht in Frage, die Sicherheit geht vor und aktuell schätze ich die Nachteile (keine App-spezifischen Passwörter) niedriger ein, als die Vorteile. Und da ist es auch egal, ob einige User das verstehen oder nicht. Wir bewerten das nach fachlichen Kriterien.

Sollte es durch neuere Software-Versionen in Zukunft möglich sein auch bei LDAP-Binds auf mehrere Passwort-Attribute zurückzugreifen, so werden wir das gerne anbieten. Derzeit ist mir kein Softwarestand bekannt, mit dem sich das auch sicherem Weg erreichen läßt.

Peer Heinlein zum Thema applikationsspezifische Passwörter

Bedeutet so ein Statement im Umkehrschluss, dass andere Services ihren Userinnen und Usern Sicherheit vorgaukeln, wo keine (oder weniger) herrscht? Wohl kaum. Insofern bleibe ich wohl dort mit meinen E-Mails daheim, wo mein Passwortmanager funktioniert und die Implementierung einer 2FA dem gewohnten Schema folgt. Es ist schade, aber mein zuerst wirklich guter Eindruck von Mailbox.org wurde schnell getrübt und bringt mich zu folgendem…

Resümee: Leider nein, Mailbox.org. Leider nein.

Ich bin hochmotiviert, wenn auch skeptisch, an den Transfer meiner E-Mails zu einem europäischen – in dem Fall konkret: deutschen – Anbieter herangegangen. Ich wollte nicht wahrhaben, dass tatsächlich so viele europäische Unternehmen den – ich zitiere den schweizer Politiker aus der Einleitung – „US-amerikanischen und chinesischen Anbietern nicht das Wasser reichen können“.

Da Mailbox.org einen guten Ruf hat, habe ich mir ein Testkonto angelegt und mich im durchaus respektablen Angebot, immerhin bietet Mailbox.org alles an, was zB Office 365 oder Google Workspace anbietet, umgesehen. Die Oberfläche für E-Mails, Kalender, Adressbuch, To-Do-Listen und Cloudspeicher hat, bis auf ein paar optische Schnitzer, kaum Wünsche offen gelassen. Super Sache, gut gemacht, aber leider war es das auch schon für mich mit den positiven Dingen.

Die Funktionen Chat und Videokonferenz sind meiner Meinung nach für den alltäglichen Gebrauch nicht geeignet, weil sie Konfigurationsarbeit voraussetzen, die man – ich gehe nach wie vor davon aus, dass sich Mailbox.org als sichere und datenschutzfreundliche Alternative zu Google Workspace und Office 365 präsentieren will – von den Produkten der Mitbewerber einfach nicht gewohnt ist. In meinen Augen zu kompliziert und zu nah an der technophilen Boomer- und X-Generation, aber meilenweit entfernt von der Erwartungshaltung digital gut assimilierter integrierter Y- und Z-Generationen. (Und nein, wir brechen da jetzt keine Diskussion über IT-Kompetenzen der Jungen vom Zaun, nein, tun wir nicht!)

Unangenehm war für mich das Menü „Einstellungen“, weil ich mich dort nicht zurecht gefunden und so auch nicht mehr sicher gefühlt habe. Die Sorge vor Kontrollverlust, unter anderem auch über die Sicherheit des Systems, ist groß und hinterlässt bei mir ein unangenehmes, das Serviceangebot von Mailbox.org ablehnendes Gefühl.

Die Oberfläche war für mich durch die Bank unübersichtlich und verwirrend (Ausnahmen eingangs erwähnt), die zum Teil inkonsistente Benutzung verschiedener Begriffe (zB „2FA“, „OTP“, „Einmalpasswort“) nicht gerade hilfreich. Und wenn ich, der ich sicherlich schon mehr als hundert Implementierungen der Aktivierung einer 2FA gesehen und durchgeführt habe, auf die Hilfeseiten eines Services angewiesen bin, um überhaupt verstehen zu können, wie die 2FA hier funktioniert, dann ist das in meinen Augen äußerst misslungen umgesetzt.

Besonders unangenehm und für meine Ablehnung des Services den Ausschlag gebend empfand ich aber die eigene (im Sinne von „eigenartige“) Interpretation der Implementierung einer Zwei-Faktor-Authentifizierung. Mag sie technisch noch so toll sein. Wir erinnern uns? Es ist „egal, ob einige User das verstehen oder nicht. Wir bewerten das nach fachlichen Kriterien.“ Nun gut. Man muss ja kein User sein und muss das auch nicht verstehen.

Meiner Erfahrung nach macht die Einführung einer 2FA im Unternehmensumfeld ohnehin immer eine Menge Schwierigkeiten, weil Userinnen und Usern erst einmal beigebracht werden muss, warum sie diese Art des in ihrer Wahrnehmung mühsamen Logins durchführen sollen und wie das handzuhaben ist. (Soweit ich mich an Cryptopartys und andere Veranstaltungen zum Thema erinnern kann, sind auch die hartgesottensten Datenschutz- und Securityprofis der Meinung, dass Komplexität im Anmeldeprozess im Endeffekt zu Problemen und damit insgesamt zu einer Minderung der Sicherheit führt.)

Wenn man nun davon ausgeht, dass die meisten Userinnen und User ohnehin schon mit einer 2FA, wie sie in Gmail oder Outlook.com genutzt wird, in Berührung gekommen sind, dann ist die von dieser Erfahrung abweichende Implementierung der 2FA, wie sie Mailbox.org einsetzt, gewöhnungsbedürftig; dass sie auch noch die reibungslose Nutzung eines Passwortmanagers erschwert, macht die Sache umso unangenehmer und fehleranfälliger. Ob sie aus technischer Sicht besonders sicher ist oder nicht, ist an dieser Stelle und unter dem Aspekt der Usability daher auch schon egal. In meinen Augen – und ich glaube, das fasst die vielen Worte dieses Artikels auch gut zusammen – leidet Mailbox.org darunter, dass der technische Anspruch fachlicher Profis und die Adaptionsbereitschaft potentieller Nutzerinnen und Nutzer einfach zu weit auseinander liegen.

Zum Schluss: Schnupsi

Ich habe es versucht, Mailbox.org, ehrlich gemeint und mit den besten Absichten. Das ist nicht zuletzt daran zu erkennen, dass ich mir die Mühe gemacht habe, diesen Artikel zu verfassen, in dem ich auf die größten Pain-Points, die ich erlebt habe, hinweise.

Wenn ich mir den Anspruch, mit dem Mailbox.org betrieben wird, und den Zugang, der die Menschen hinter dem Service auszeichnet, ansehe, dann ist mehr als augenscheinlich, dass hier Profis am Werk sind, die ein solides Handwerk betreiben und für die Nutzerinnen und Nutzer ihres Angebots den besten Service liefern wollen. Das ist unbestritten. Das Problem vermeine ich allerdings darin zu sehen, dass dieser Zugang ein sehr technischer ist und der alltäglichen Nutzererfahrung wenig Relevanz beimisst. (Interpretiert man die Wortwahl in den Supportforen – und „schnupsi“ als Depretiativum in Bezug auf die Nutzererfahrung versus „fachliche Kriterien“ als distanziert-professionelle Bezeichnung für den eigenen, allerdings nur auf das Technische reduzierten, Zugang sind nur ein Beispiel -, dann ist das in meinen Augen schon entlarvend.)

Vielleicht hilft dieser Beitrag ja in einer möglichen Evaluierung der gesamten User Experience und ist bestenfalls ein Anstoß, das User Interface vor allem der Einstellungsseiten ein wenig massiv zu überarbeiten. Schön wäre es zumindest. Ich gebe bestimmt nicht auf und werde es sicher noch einmal probieren, aber so, wie das momentan läuft und aussieht, wird das nichts mit uns, und ich bleibe vorläufig bei Google Workspace, FastMail und Office 365.

COVID-19, Tag 680: Impfpflicht

Freitag, 21. Jänner 2022, Tag 680 der Corona-Pandemie. Gestern wurde in Österreich die Impfpflicht beschlossen. Am Nachmittag habe ich auf der Straße bei einigen Gesprächen ein „Endlich!“ in Bezug auf die Impfpflicht gehört, aber auch die Demonstration dagegen, die über die Mariahilfer Straße gezogen ist. Und am Abend gab es zwei gegenpolige Sendungen zum Thema: Auf ServusTV eine Dokumentation zum Thema „COVID-Impfopfer“ und auf ORF2 „Stöckl live“ mit dem Subtitel „Ihre Fragen zur aktuellen Corona-Lage“.

Die Fallzahlen in Österreich sind hoch, die in Israel allerdings…

Ich sehe mir die Grafik an und wundere mich dann doch über Israel, das uns ja immer als Vorbild gedient hat. Mehr habe ich zu alledem nicht zu sagen. Vorläufig. Aber, dass die Impfpflicht nun da ist (und die Umstände und Zusätze, wie eben eine Lotterie 🤦‍♂️!) ist schon erwähnenswert. Ich glaube, da wird noch irgendwas passieren, denn die Impfpflicht, die dann doch nicht am Arbeitsplatz gilt und doch noch mit dieser Lotterie (🤦‍♂️) schmackhaft gemacht werden muss, zeigt in meinen Augen von nicht sehr viel Sicherheit in der Beschlussfassung. Aber gut, ich beobachte weiter.

Google Analytics, die DSGVO, Nutzen und Nutzung

Diese Woche hat die österreichische Datenschutzbehörde (DSB) festgestellt, dass der Einsatz von Google Analytics gegen die DSGVO verstößt, da durch den Einsatz des kostenlosen Statistiktools personenbezogene Daten in die USA übermittelt werden und Google, der Betreiber von Google Analytics, kein der DSGVO entsprechend ausreichendes Datenschutzniveau für diese Daten garantieren kann, auch wenn dies in den Vertragsklauseln, die man beim Einsatz des Tools vorgesetzt bekommt, behauptet wird.

In einem auf der Website von noyb, der Organisation, mit der Max Schrems 101 Musterbeschwerden gegen Unternehmen in ganz Europa angestrengt hat (in Österreich zB: geizhals.at, netdoktor.at und oe24.at) veröffentlichten Artikel zum Urteil, wird dann sehr schnell klar, dass Google nur als Synonym für „Unternehmen mit Sitz in den USA“ zu verstehen ist. Auf den Punkt gebracht durch Max Schrems himself:

Anstatt ihre Dienste technisch so anzupassen, dass sie mit der DSGVO konform sind, haben US-Unternehmen versucht, einfach ein paar Texte in ihre Datenschutzrichtlinien einzufügen und den EuGH zu ignorieren. Viele EU-Unternehmen sind diesem Beispiel gefolgt, anstatt auf legale Dienste zu wechseln. […] Die Quintessenz ist: EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen. Es ist jetzt 1,5 Jahre her, dass der EuGH das ein zweites Mal bestätigt hat – es ist also mehr als an der Zeit, dass das Gesetz auch durchgesetzt wird.

Max Schrems auf noyb.eu

Noch einmal, ganz langsam: „EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen“. Aber… welche Cloudspeicher kennt ihr, werte Leserinnen und Leser, die nicht US-Cloud-Dienste sind? Ganz genau: keinen einzigen. Es gibt schlichtweg keine Cloudspeicherdienste in der Qualität und mit dem Sicherheitslevel, mit dem US-Dienste solche Services anbieten. Das hat ja die Schweiz schon festgestellt und sie hat meiner Meinung nach vollkommen Recht, wenn dort sinngemäß behauptet wird: Was an europäischen Lösungen angeboten wird – und ich maße mir nicht an, das Angebot gänzlich zu kennen, aber allein die Tatsache, dass ich suchen musste, um überhaupt mehr als ein oder zwei große europäische, DSGVO-konforme Dienste zu finden, spricht Bände – ist schlichtweg lächerlich.

Wir alle kennen und nutzen sehr wahrscheinlich Dropbox, Google Drive, Microsoft OneDrive, Apples iCloud oder Amazon Drive. Guess what? Alle nicht DSGVO-konform, wenn ich Max Schrems richtig verstehe. Geht es also danach, können wir sofort beginnen unsere Daten von dort zu löschen und auf europäische Lösungen zu setzen. Heise hat sich solche Lösungen angesehen und da gibt es so klingende Namen wie den Berliner Anbieter luckycloud (noch nie gehört), YourSecureCloud (noch nie davon gehört), pCloud (aus der Schweiz, auch noch nie davon gehört), LeitzCloud (aus Frankfurt mit einem Webauftritt, der ein Gruß aus der Vergangenheit ist, aber immerhin, von der habe ich schon mal irgendwo gelesen) oder HiDrive von Strato, dem einzigen Anbieter, den man vielleicht kennt. Klar, es gibt dann immer noch Nextcloud, aber damit bin ich in mehreren Testrunden (selbstgehostet und fremdgehostet) immer wieder gescheitert, weil die käsige Synchronisationsapp (zumindest am Mac) an guten Tagen im Viertelstundentakt Fehler ausgeworfen und Dateien nicht synchronisiert hat; Arbeiten ist so nicht möglich. (Wer sich – das nur ein winzig kleiner Exkurs – noch mehr in das Thema einfühlen will, soll sich doch bitte ansehen, wie das Hosted Nextcloud Hub-Angebot bestellt werden kann! Ich kann leider nur meine der Synchronisationsapp zuteil gewordene Attribuierung ins Gedächtnis rufen: Man muss ein Kontakt-Formular ausfüllen, um Nextcloud Hub zu bestellen. Ein Kontaktformular wie in den frühen Jahren des Internets. Das ist die Spitze des europäischen Konkurrenzprodukts zu Google Drive, OneDrive, iCloud und Dropbox.)

Abgesehen davon, dass der Ausschluss von Microsoft OneDrive wohl mit einem Schlag einen sehr großen Prozentsatz der europäischen Wirtschaft stilllegt, sind diese Lösungen im Kontext friktionsfreien Arbeitens nur dann gut einsetzbar, wenn sie mit der Software, die man nutzen möchte, von Anfang an gut abgestimmt sind. In meinem Fall kennt zum Beispiel mein Buchhaltungsprogramm, meine E-Mail-App oder meine Foto- oder Musikverwaltung keinen einzigen der oben genannten Dienste, um darüber zum Beispiel ein Backup zu erstellen oder eine Synchronisierung durchzuführen. Es würde also alles sehr, sehr mühsam werden.

Max Schrems schreibt im oben verlinkten Artikel auf seiner noyb-Website, dass es „langfristig [einen] angemessenen Datenschutz in den USA [braucht], oder wir werden am Ende getrennte Produkte für die USA und die EU haben“ und dass es für noyb entscheidend ist, „dass die US-Anbieter das Problem nicht einfach auf die EU-Unternehmen abwälzen können“. Im Beitrag auf derstandard.at wurde ein Update veröffentlicht, in dem Google Stellung zu der Entscheidung nimmt:

[Die Unternehmen], nicht Google, kontrollieren, welche Daten mit [Googles] Tools gesammelt und wie diese ausgewertet werden […]. Google stelle eine Reihe von Sicherheitsmaßnahmen, Kontrollfunktionen und andere Mittel zur Verfügung, damit rechtliche Vorgaben erfüllt werden können.

derstandard.at

Es liegt also dann doch bei den europäischen Unternehmen, sich um eine Lösung zu kümmern, was sehr viel Zeit und sehr, sehr viel Geld kostet. Vor allem, solange es keinen mit Google, Microsoft oder Dropbox vergleichbaren, ähnlich wirkmächtigen und in weltweit genutzter Software integrierten, europäischen Anbieter eines Cloudspeichers oder cloudbasierten Services gibt. Will man als europäisches Unternehmen also eine DSGVO-konforme, leicht bedienbare und zuverlässige, cloudbasierte Lösung nutzen, steht man mit dem Rücken an der Wand und muss sich mit zusammengebastelten und nicht weitläufig integrierten Lösungen herumschlagen. Das ist kein abstraktes Problem, sondern mittlerweile Thema in europäischen Unternehmen; anstatt, dass sie sich auf ihre eigentliche Arbeit konzentrieren können, muss man sich nun damit beschäftigen. Produktivität, ahoi!

Und während wir mit immer längeren Cookiebannertexten konfrontiert sind, mit Kaufhaus Österreich und anderen politisch beeinflussten, europäisch nicht koordinierten Sinnlosprojekten Geld verbrennen (GAIA-X, irgendwer?), User-Interfaces mit DSGVO-Hinweisen zupflastern, Nutzerinnen und Nutzer unserer Services mit AGB, Datenschutzhinweisen und Nutzungsbedingungen, die länger und länger werden, das Leben schwer machen und uns dabei der Illusion hingeben, mit solcherlei Maßnahmen vor den Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste geschützt zu sein (ja, diesen Punkt gibt es ua. sinngemäß im Entscheid der DSB – LOL!) ein durchformalisiertes Usability-Horror-Internet schaffen, segeln US-amerikanische und chinesische Unternehmen mit von Europäerinnen und Europäern aus Facebook, Instagram, Twitter, TikTok und YouTube generierten Daten lachend an uns vorbei und nehmen dieses als Selbstzerstörung des Wirtschaftsraums wahrgenommene Recht hinter vorgehaltener Hand wohl nur noch als Zirkus wahr, der ohnehin niemandem, außer uns Europäern selbst schadet. (Wohlgemerkt, ich befürworte den Datenschutz, er ist sogar Teil des Slogans dieses Blogs, aber ich sehe, dass ja nun doch europäische Unternehmen die Last tragen müssen.)

Ich verweise mittlerweile schon inflationär auf die Schweiz, ich weiß, aber gerade macht die Schweiz einiges sehr richtig und hat sich nach dem Eingeständnis der Tatsache, IT-technisch vom Rest der Welt abgehängt worden zu sein, in meinen Augen pragmatisch und damit zukunftstauglich entschieden, zumindest kurz- und mittelfristig dem Nutzen funktionierender, gut integrierter und sicherer IT-Infrastruktur den Vorrang vor der möglichen Gefahr der Nutzung solcher Services zu geben. No Risk, no Risk, heißt es ja bekanntlich.

Irgendwann sollten auch wir im restlichen Europa erkennen, dass wir diesen Wettlauf schon vor Jahren ganz eindeutig verloren haben und dass eine Aufholjagd ohne grundsätzliche, politische Änderung, die es möglich macht, den Nutzen, und nicht die Gefahr der Nutzung, als Leitmotiv zu sehen – ich denke hier an Aspekte wie Ausbildung, die De- bzw. Neuregulierung von Finanzierung, die Möglichkeit eines (wenn nicht anders zu bewerkstelligen) Monopols, den Umgang mit Risiko, Chance und Scheitern, einem massiven und substantiellen Abbau von Bürokratie und bürokratischen Hürden – schlicht und einfach nicht gehen wird.

Threema wird Pflicht

Die Schweiz verbietet Soldaten die Nutzung von Messengern wie WhatsApp, Signal und Telegram, auch auf ihren privaten Handys. Stattdessen wird Threema, ein Schweizer Produkt, empfohlen. Begründung: Threema ist ein Schweizer Unternehmen, untersteht somit nicht dem Cloud Act und geht auch noch mit der DSGVO konform. Die Aktion sei „sinnvoll, aber gewöhnungsbedürftig“ schreibt Eva Novak im Tagesanzeiger, und hat Recht.

Threema ist ein feiner Messenger mit besonderem Fokus auf Datensparsamkeit und echter Ende-zu-Ende-Verschlüsselung. Sein allergrößter Nachteil: er kostet knappe 4 Euro und das – so lächerlich die Summe auch sein mag – schließt natürlich die meisten aus. (In der Schweiz übernimmt der Staat die Kosten dafür.)

Mir gefällt sehr, was die Schweiz in letzter Zeit macht, denn aus ihren Handlungen geht hervor, dass sie sich zumindest den aktuellen Herausforderungen stellt und sie bewusst und aktiv ins alltägliche Leben, sei es in der Verwaltung, im Militär oder im Privatleben, integrieren möchte. Außerdem bietet sie mit ihren praxisrelevanten Empfehlungen, hier Threema, vor ein paar Monaten Alibaba, Amazon, IBM, Oracle und Microsoft, eine Art Kompass, der uns zum Beispiel in Österreich, wo Begriffe wie „Cloud“ oder „Messenger“ doch noch die Frage „Was ist das eigentlich genau?“ aufkommen lassen, gänzlich fehlt. In anderen Worten: Die Schweiz hat Dinge in den Kanon der Normalität aufgenommen, die bei uns noch als Zukunftstechnologie gelten.

Podcast: Inside Austria

Ich hatte über die Feiertage endlich Gelegenheit, Podcasts nachzuhören, unter anderen „Inside Austria“. Meine Güte, ist der gut gemacht. Podcasts gibt es viele, aber ich muss schon sagen, dass die Qualität, Informationsdichte, Aufbereitung und Dauer, mit der sich Der Standard und der Spiegel im Podcast „Inside Austria“ einerseits Sebastian Kurz‘ Aufstieg und Fall widmen und andererseits Das Regierungsversagen in Bezug auf die Coronapolitik in Österreich aufarbeiten, ihresgleichen sucht.

Besonders die Sicht von außen – hier spielt der Spiegel eine wesentliche Rolle – und die zeitliche Distanz zu den Ereignissen (es geht nicht um Tagespolitik), tut gut. Anstatt aktuelle Vermutungen zu präsentieren und zu spekulieren, konzentriert sich Inside Austria auf vergangene Ereignisse und bildet sie dementsprechend dicht ab. Auch die Dauer einer Folge – maximal eine knappe Stunde – ist das perfekte Podcast-Format. Kein Gebrabbel, gleich zum Punkt, nur wenig Pause zwischen den Kapiteln. Man merkt (leider) auch bei Inside Austria eine Verwässerung der Information, je näher der Podcast der Gegenwart kommt – es gibt ein paar Folgen, die zum Zeitpunkt der Veröffentlichung fast tagesaktuelle Ereignisse und Informationen zum Thema haben -, aber das ist angesichts der sonst vorherrschenden Qualität nicht so schlimm.

Daher: Absolute Empfehlung. Und auf dass das Format so bleibt, wie es sich bisher präsentiert hat: Informationsdicht und top aufbereitet.

Den Podcast gibt es auf den üblichen Plattformen: Apple Podcasts, Spotify und RSS.

Waneella: Nice View

Nice View von Waneella. Hier ist einiges anders als sonst, die Perspektive, das Motiv und ganz besonders die Musik, aber nicht unbekannt und dem Stil immer noch treu. In den Kommentaren auf YouTube ist – zurecht – die Rede von Blade Runner Vibes, die beim Betrachten des Bildes, vor allem aber beim Hören des Soundtracks aufkommen.

Den Stil haben wir bei Waneella schon gesehen. In Empty Spaces, Air und Heat kommt der extreme Weitwinkelblick schon zum Einsatz, wenn auch nicht mit diesem dramatischen Faktor wie hier in Nice View. Die Musik, hingegen, ist komplett neu. Die hat es bislang so nicht gegeben. Ich habe mir beim Hören zum ersten Mal gedacht, dass das, was normalerweise ein Tonraum ist, fast schon melodisch wirkt und – ich gebe es zu – es war für mich ungewöhnlich und gewöhnungsbedürftig. Wenn die akustische Abstraktion verloren geht, wirkt die bildliche störend.

Nice View hinterlässt aber dann doch seinen Eindruck, denn was ist es, was wir hier sehen? Ein Blick ins Leere von einem Hafen, einer Brück, jedenfalls von einem Raum inmitten von Infrastruktur aus? Alles läuft auf Lebenserhaltung, nichts bewegt sich, der Trubel ist vorbei. Ein melancholischer und wenig Hoffnung versprechender Abschluss dieses Jahres. Melancholisch und drückend wie der Soundtrack zur Pixel Art, der den wohl drückendsten Abschluss seit langem hat.

COVID-19, Tag 658: Immunsystem „stärken“

Donnerstag, 30. Dezember, Tag 658 der Corona-Pandemie. Nach längerer Zeit hat sich Christian Drosten wieder mit zwei Tweets gemeldet, in deren Folge er sich erstaunt zeigt, „wieviele Missverständnisse und falsche Vorstellungen über Infektion, Impfung und Immunität bestehen“ und sogleich anbietet, „nicht destruktive, ehrlich gemeinte Einwände“ über Twitter kurz beantworten zu wollen. „Mit etwas mehr wissen könnten sich viele hier ihre Aggressivität sparen und stattdessen für sich selbst bessere Entscheidungen treffen.“ Bummer.

Die Tweets, um die es geht, habe ich hier zusammengefasst. Sie zielen vor allem auf ein falsches, geistiges Bild der Wirkweise und Funktion des Immunsystems ab, das, ich nehme mich da gar nicht aus, von vielen geistig einem Kickboxer gleichgesetzt wird, der den Körper verteidigt und fett, träge und faul wird, wenn man ihn nicht andauernd mit Gegnern konfrontiert, die ihn fit halten, in dem er sie bekämpfen muss. Christian Drosten will mit dieser Vorstellung aufräumen, denn sie verleitet viele zur Aussage, sie hätten ein starkes Immunsystem (= ein gut trainierter Kickboxer), das mit dem Virus locker fertig wird. In Wahrheit gilt aber:

Wer glaubt, durch eine Infektion sein Immunsystem zu trainieren, muss konsequenterweise auch glauben, durch ein Steak seine Verdauung zu trainieren. […] Immunreaktion vs. „starkes Immunsystem“ ist wie Lernen vs. Intelligenz. Ich kann ein Gedicht auswendig lernen, bin dadurch aber nicht intelligenter geworden. Ich kann eine Infektion überstehen, habe dadurch aber nicht „mein Immunsystem gestärkt“.

@c_drosten

Die beiden Tweets wurden erst gestern veröffentlicht, doch die Anzahl der Replies und Mentions ist bereits so groß, dass man sich jetzt schon, keine 24 Stunden später, durch Lektüre der Kommentare ein gutes Bild davon machen kann, mit welchen Vorstellungen über das Immunsystem man (als Top-Virologe) konfrontiert ist und welche Denkrichtungen diese Vorstellungen bedingen. Was Christian Drosten mit „nicht destruktive, ehrlich gemeinte Einwände“ angesprochen hat, wird angesichts verschiedener Meldungen in dem Twitter-Thread, die man eigentlich nur noch als Beschimpfung verstehen kann, auch ganz besonders klar. Ich überlasse es allen Leserinnen und Lesern, sich nun selbst ein Bild von den Abgründen zu machen, mit denen man im Jahr 2021 konfrontiert ist.

Wer allerdings sein Bild vom Immunsystem einer Spurkorrektur unterziehen möchte und nicht in Abwehrhaltung am Irrglauben festhalten will, den möchte ich auf ein Buch verweisen, das Wolfgang Ritschl letzte Woche im immer hörenswerten Ö1 Kontext präsentiert hat: „Immun – Alles über das faszinierende System, das uns am Leben hält“ von Philipp Dettmer, den man vielleicht aus der YouTube-Reihe „Kurzgesagt“ kennt (die sich, nur nebenbei, in einer ganzen Videoserie zum Thema Immunsystem widmet). Allein der Ö1 Kontext-Beitrag, den man noch als Podcast hören kann, gibt schon einen guten Eindruck davon, wie komplex das Thema und wie wenig passend die Vorstellung des Kickboxers oder die des „Stärkens“ eigentlich ist.

Das alles ist nicht mein Thema, meine Spezialisierung oder Teil dessen, was ich als mein Interesse nennen würde. Insofern maße ich mir auch nicht an, hier irgendwelche Aussagen zu treffen, in denen ich über die „Stärkung des Immunsystems“ spreche. Das sollen diejenigen tun, die sich damit ein Leben lang beschäftigt und von anderen, die sich damit ein noch längeres Leben lang beschäftigt haben, geschult und geprüft wurden. (Jedenfalls aber nicht diejenigen, die sich das Wissen am Stuhl der Erkenntnis erarbeitet haben.) Was ich aber tun kann, ist, auf die Konfrontationen hinzuweisen, mit denen sich jemand, der sich schulen und prüfen hat lassen und vorsichtige, immer wieder durch den Pandemieverlauf bedingt nachkorrigierte Aussagen trifft, konfrontiert sieht. Das kann man eben in dem oben verlinkten Twitter-Thread, den Christian Drosten gestartet hat, miterleben. Dort kann man sich in die verschiedenen Zeitleisten und Profilen der unterschiedlichen Personen einlesen (wenn man das will), um auch ihr Weltbild für einen selbst nachvollziehbar zu machen, sofern einem das gelingt. Mir persönlich fällt es sehr schwer, da es in vielen Argumentationen Lücken in der Beweisführung gibt oder konstruierte Kausalitäten als Selbstverständlichkeiten dargestellt werden (Quantenphysik, anyone?).

Rezensionen 👎

Rezensionen (mit einer Daumen nieder/Daumen hoch oder 1-5 Sterne-Bewertung) versprechen auf Basis der großen Zahl halbwegs passable Orientierung in Bezug auf ein Produkt, einen Ort oder eine Dienstleistung zu geben. Und ja, sehr, sehr viele Menschen orientieren sich danach. Und die, die’s nicht tun, sind unbewusst beeinflusst oder tun es sich nicht an, die nach Sternebewertung sortierte Standardliste nach anderen Kriterien zu sortieren. In anderen Worten: Alle sind wir irgendwie von der Anzahl der vergebenen Sterne beeinflusst.

Umso interessanter, natürlich, dass diese Bewertungen – wer hätte das gedacht?! – beeinflusst werden können. Und das nicht nur durch bezahlte Rezensenten, sondern auch durch (politische) Marketingabteilungen. Mehr dazu – und der schönste Burn, den man sich vorstellen kann – bei John Gruber.

E-Mail in Ermangelung an Alternativen

Dass E-Mails abgeschafft gehören, höre und lese ich schon seit Jahren. Dass E-Mail aber nicht nur eines der ersten, sondern auch eines der letzten tatsächlich offenen, vernetzten und dezentralen Systeme des Internets ist, seltener. Weil es aber so offen und weit verbreitet und damit der kleinste gemeinsame Nenner der schriftlichen Onlinekommunikation ist, macht es Kommunikation zwischen Organisationen überhaupt erst möglich.

Email is our only reliable communication method between different organizations. There are a huge variety of intra-organizational communication systems, to the point where pretty much every large enterprise provider seems to have one (Slack, Microsoft Teams, Discord, etc etc). These work fine inside an organization or a closed group of people, and they can be better than email in various ways (hence their popularity). But all of them are at best cumbersome when you want to reach out for inter-organizational communication, to work with an outsider, and they always will be because they aren’t federated (especially across service boundaries).

A realization of why email is critical infrastructure for the Internet

Was spräche aber nun dagegen, E-Mail gegen ein anderes der gerade weit verbreiteten Systems (wie WhatsApp, Microsoft Teams, Slack, Discord, usw.) auszutauschen? Chris Siebenmann, der hier schon einmal mit Zweifeln an der eigenen Mail-Infrastruktur vorgekommen ist, verfolgt da einen interessanten Gedanken: Es ist die Gefahr der Zentralisierung (mit all ihren Unzulänglichkeiten, vor allem der Kostenpflichtigkeit), die das dezentrale und weit verbreitete System E-Mail in Ermangelung an Alternativen gut am Leben hält.

It’s to the advantage of all of the big centralized systems [zB Facebook mit WhatsApp, Microsoft mit Teams, usw.] to keep email alive. If they kill email, on the one hand it could drive people to their central system, but on the other hand it might force people to someone else’s central system, because people will be forced to do something and they probably won’t join everyone’s system (especially if there’s a cost associated). As long as there’s no obvious winning central communication system, all of them have a lot to potentially lose if email dies.

Gute Sache. Umso wichtiger, seine E-Mails unter Kontrolle zu haben.

TikTok > Google

Facebook und Google dominieren das Internet? Nicht mehr lange, denn sie beide basieren stark auf der Vermittlung von Nachrichten, Wissen und Information auf Basis von Texten im Sinne von „Geschriebenem“. Genau darin liegt das Problem, denn das geschriebene Wort unterliegt gerade audiovisuellen Formen der Inhaltsvermittlung. So ist es auch nicht weiter verwunderlich, wenngleich ich gestehen muss, dass mich die Tatsache allein dann doch gewundert hat, dass TikTok, und nicht Google, im Jahr 2021 die populärste Domain war.

In 2020, [TikTok] was ranked No. 7 while Google came in at No. 1. This year [2021], TikTok came in first, followed by Google, Facebook, Microsoft and Apple, in that order. […] Google is well aware of TikTok’s dominance. The site has been looking to become increasingly focused on video and audio as the internet moves away from content people can read and toward content people can see or hear. Platforms like TikTok, Instagram and podcasts have largely led that shift.

protocol

Google ist sich dieses Wandels mehr als bewusst und arbeitet daran, nicht in Text festgehaltene Information zu erkennen, zu analysieren und nutzbar zu machen.

There’s a core change happening on the internet that threatens Google in a serious, potentially existential way. An increasingly large amount of the web is not web pages full of text and hyperlinks. It’s images, video and audio. TikTok and Instagram, podcasts and videos: Those platforms are just as much „the internet“ as the Wikipedias and publisher sites Google has long relied on. And for the company that has spent two decades dedicated to organizing the world’s information, that presents a problem.

protocol

Klar ist das ein Problem, denn Bilder, Videos und Audio sind eine Art Rückkehr in die Passivität, die sich auch auf die Art und Weise, wie wir das Web nutzen, auswirkt. Das aktive Suchen nach Information – das, nur so nebenbei, von Google selbst vergiftet wurde, in dem die meisten Informationen, die den Suchenden angezeigt werden, kommerzieller Natur (und damit meine ich nicht Werbung) sind – geht, glaube ich, zurück. Deutlich. Gesucht wird nur noch aus Notwendigkeit und nicht aus Interesse. Und konnte Google mit seinen Diensten vor zehn Jahren noch Neugierde wecken (und somit weitere Suchen auslösen), so geschieht aktuell das genaue Gegenteil. Aus der Aktivität eines suchenden Interessierten, der verarbeitet, bearbeitet, remixed und neue Inhalte veröffentlicht, ist die Passivität der nach Unterhaltung Suchenden geworden. Sie nutzen das Web, welches in ihrem Fall ohnehin nur noch aus TikTok, Facebook, YouTube und Twitter besteht, wie die TV-Generation einst das Fernsehen. Am Nachmittag, auf der Couch, mit dem Smartphone in der Hand; die Zeit soll unterhaltsam vergehen. Sogar die Körperhaltung ist an Passivität nicht zu überbieten. Wir suchen nach dem nächsten Kick, nach dem nächsten, spaßigen Meme, interessanten Video, aufregenden Bild. Doch das „Suchen“ ist keinesfalls ein aktiver Prozess, sondern mehr mit dem Fischen in einem unendlichen Stream an vorbeirauschenden Bildern, Videos und Audios vergleichbar. Es gibt Tage, an denen nichts unsere Aufmerksamkeit wecken kann. Und wenn dann einmal etwas vorbeifließt, das uns für die paar Sekunden ablenkt, dann liken, sharen, retweeten, pinnen oder kommentieren wird auch immer seltener. Alle Vokabel, die im Web Aktivität signalisieren, sind vom Aussterben bedroht. Kommentare auf Blogs waren nur der Anfang, das Fernseh-Internet ist längst Realität. Und Google ist aktives Suchen, TikTok passives Fernsehen. Ich bin gespannt, wie Google mit dieser Tatsache umgehen wird.

Wieso Facebook nicht zuhört und man das doch abdrehen kann

Jesse Pujji erklärt, wie es Facebook gelingt, Werbung von Websites und Produkten anzuzeigen, über die man sich mit jemandem unterhalten, die man aber selbst nie aufgerufen bzw. nach denen man noch nie gesucht hat. Vorweg: Zugehört wird nicht. Eigentlich ist das Verfahren, das Facebook anwendet so simpel wie genial: Wahrscheinlichkeit und Browsing-Historie. Zuerst ein wenig Erklärung:

The two most valuable pieces of software on earth are: 1. The FB pixel, 2. The FB newsfeed. […] The FB pixel is a tiny piece of code that nearly every website/mobile app on the planet has embedded. It collects anonymized data for FB to aggregate: websites visited, how much time was spent, did you buy or not, etc. The newsfeed algo looks at that as a signal along with hundreds of other data points like age, friends, what you click on […] All of this is done in aggregated groups. Not personal/specific to you. When it works: right message in front of right person at right time….everyone wins.

@jspujji

Und dann zum eigentlichen Punkt: Warum kann Facebook nun passende Werbung anzeigen, obwohl ich noch nie nach einer bestimmte Website oder einem bestimmten Produkt gesucht, mich aber sehr wohl darüber mit jemandem beim Abendessen unterhalten habe?

If me and @mrsharma get lunch, FBs systems can figure it out (still anonymously of course) How? Our devices were near each other for about an hour at neither of our houses around lunchtime. FB knows the last 10 websites each of us visited. (This is all done based on device codes not our names/personal info). It bets that we talked about a few of these websites. So after lunch, it shows us each ads based on the other person’s browsing history. We didn’t discuss 9/10 of the websites the other person visited so we don’t even notice that. But the 1 we happened to discuss JUMPS out at us. And we conclude: FB has been listening!! In reality, they use tech, data and tools available to most mobile apps and some smart probabilistic modeling.

@jspujji

Eigentlich ein sehr, sehr smartes System: Ich zeige Person A Werbung zu Produkt aus der Browsinghistorie von Person B an und umgekehrt. Die Wahrscheinlichkeit ist hoch, dass sich die beiden über eine Website bzw. eines der in der Browsinghistorie vorhandenen Produkte unterhalten haben. Match and win!

Wie, also, kann man dieses System deaktivieren? In dem man vor allem das Facebook Pixel bzw. eine in der Domäne von Facebook stehende Applikation an der Ausführung der Mess- und Protokolliertätigkeit („Tracking“) stört. Gleich vorab: Wer die Facebook-App nutzt, kann schon aufhören zu lesen. Ihr habt keine Chance, dem Tracking zu entgehen. Nur, wer Facebook als ein Muss ansieht, das man sich hin und wieder antut, um up-to-date zu bleiben, sonst aber sowohl die Apps als auch den Service meidet, kann beim Vermeiden des Trackings durch Facebook gute Ergebnisse erzielen. Menschen, die Facebook-Applikationen und den In-App-Browser nutzen und nicht bereit sind, das aufzugeben, gehören nicht in die Reihe dieser Personen.

Allen anderen habe ich bereits alles, was sie wissen müssen, in anderen Beiträgen hier auf meinem Blog zur Verfügung gestellt. Hier die zwei relevanten Beiträge:

  1. Aktivitäten außerhalb Facebooks ermitteln, entfernen und Protokollierung verhindern. In diesem Beitrag zeige ich, wie man nachsehen kann, ob und was bereits protokolliert und dem eigenen Datenstream zugeordnet wurde, wie man das bereits Vorhandene entfernen und die zukünftige Protokollierung (und Zuordnung zum eigenen Konto) verhindern kann. Das, allerdings, nur mit Facebook-Bordmitteln, also mit einer sehr zahnlosen Methode.
  2. uBlock Origin: Keine Werbung und kein Tracking. In diesem Beitrag, der sowohl für Firefox als auch für Google Chrome genutzt werden kann, beschäftige ich mich mit der Erweiterung uBlock Origin, mit der es unter anderem möglich ist, das Facebook Pixel auf Drittseiten dezidiert auszuschließen und somit den Mechanismus zur Datensammlung und Übermittlung an Facebook quasi an der Quelle zu unterbinden. Sie gilt für Desktop-Browser, also für die Minderheit unter euch Smartphone-Junkies. Wer ohnehin nur noch mit dem Smartphone surft, der sollte ich 1Blocker ansehen. 1Blocker ist quasi das uBlock Origin zumindest unter iOS. (Ich habe kein Android-Device, bin aber für Tipps für gleichwertige Add-Ons mehr als dankbar!)

Gut. Ihr wisst nun, was zu tun ist.