Ground Control für Major Trial

 (virtualize.sh)
1 Punkte von GN⁺ 2025-05-17 | 1 Kommentare | Auf WhatsApp teilen
  • Ein halbstaatliches Organ, das eine Open-Source-Plattform nutzt, hat über einen Zeitraum von zehn Jahren aktiv endlose Trials missbraucht
  • Um die XOA-Appliance ohne offizielle Bezahlung dauerhaft weiter zu nutzen, erstellte diese Organisation Dutzende von Konten
  • Trotz aufrichtiger Unterstützung und entsprechender Hinweise hörte diese Organisation nicht damit auf, die Lizenz zu umgehen
  • Obwohl es eindeutig eine kostenlose, selbst aufbaubare Option gab, wurde statt eines korrekten Vorgehens immer wieder nur der Missbrauch von Trials wiederholt
  • Ein solches Verhalten bedroht die Nachhaltigkeit von Open Source; künftig sollen intelligentere Beschränkungen eingeführt werden

🚀 Eine Geschichte über Testversionen und Fehlversuche

Die Welt von Open Source hat schöne, komplexe, leistungsstarke und manchmal schwer verständliche Seiten zugleich.

# Vates und die Realität der Open-Source-Wartung

  • Vates hat bereits verschiedene Schwierigkeiten geteilt, die mit der Pflege von Open-Source-Projekten verbunden sind
  • In jüngster Zeit ist durch die Zunahme von KI-basierten Beiträgen und gefälschten Sicherheitsmeldungen neue Komplexität hinzugekommen
  • In diesem Beitrag geht es jedoch um einen etwas greifbareren und konkreteren Fall

🧑‍🚀 Der ungewöhnliche Fall eines niemals endenden Trials

# Hintergrund

  • Ein Unternehmen mit halbstaatlichem Hintergrund erzielt einen Jahresumsatz von 130 Millionen US-Dollar und baut bzw. betreibt teure Ausrüstung mit Bezug zur Raumfahrt
  • Das Unternehmen betreibt mehrere Hundert physische Server und mehr als 4.000 VMs; ein Großteil seiner IT-Infrastruktur hängt von der Vates-Plattform ab
  • XCP-ng ist die Rakete, Xen Orchestra der Satellit — ganz entsprechend den Logos ist diese Plattform für das Unternehmen geschäftskritisch

# Wie der Trial missbraucht wurde

  • Diese Organisation machte klar, dass sie kein zahlender Kunde ist, nutzte aber auch nicht die Methode der direkten Installation des Open-Source-Quellcodes
  • Stattdessen beantragte sie wiederholt den 30-Tage-Trial (früher 15 Tage) der Xen Orchestra Appliance (XOA), einer leicht zu installierenden vorkonfigurierten VM
  • Seit April 2015 wurden mit Firmen-E-Mail-Adressen Trials angefordert, und nach und nach stieg die Zahl der Konten stark an
  • Die meisten Mitarbeitenden — Entwickler, Systemadministratoren, Manager — erzeugten Trials und wechselten von Adressen im Stil ○○@corporate.com zu privaten Outlook- und Gmail-Konten
  • Mit immer mehr Ziffern im Mail-Handle wurden mehr als 60 Konten erstellt, was auf ein organisiertes Vorgehen hindeutet

# Öffentliche Daten

  • Das Verhalten war so aktiv und konsistent, dass sich sogar ein Diagramm mit den tatsächlichen Zahlen der mit Trials verknüpften Konten erstellen ließ
  • Bei Problemen wurden sogar echte Klarnamen eingetragen; auch der tatsächliche Firmenname wurde sorgfältig angegeben

🔍 Hinweise zu den verfügbaren Optionen

  • Jeder kann gemäß der Dokumentation aus dem Quellcode bauen und alle Funktionen kostenlos nutzen
  • Die XOA-Appliance ist ein kommerzielles Produkt, da sie eine professionell bereitgestellte Umgebung mit regelmäßigen Tests, Updates und Aktualisierung per Mausklick bietet
  • Das Verhalten dieser Organisation kann als klarer Verstoß gegen den impliziten „moralischen Vertrag“ von Open Source gesehen werden

🧠 Die tatsächliche Abwägung

  • Vates bot den Nutzern in gutem Glauben Unterstützung an und half auch damals aufrichtig, als zunächst Kaufinteresse signalisiert wurde
  • Doch wiederkehrende Fragen und vertraute Setups fielen weiterhin auf, und schließlich wurden Aufzeichnungen von mehr als 60 unabhängigen Konten festgestellt
  • Nach der Konfrontation erklärte das Unternehmen mit einer vagen Entschuldigung, man werde auf die Quellcode-Version umsteigen
  • Selbst ein Angebot für Mengenrabatt wurde sofort abgelehnt, und an professionellem Support bestand keinerlei Interesse
  • In der Realität erfolgte auch dieser Umstieg nicht; stattdessen wird der Trial-Missbrauch weiterhin über private Konten fortgesetzt

# Wenn kostenloses Self-Hosting möglich ist

  • Mit nur wenigen Befehlen und einem kurzen Blick in die Dokumentation ist vollständiges Self-Hosting möglich

  • Der einzige Nachteil besteht darin, dass das Upgrade-Erlebnis etwas weniger bequem ist

  • Trotzdem entschied sich dieses Unternehmen nicht für kostenloses Self-Hosting, sondern immer wieder für den Missbrauch von Trials

  • Das zeigt umso mehr, welchen Wert die XOA-Appliance im Markt offenbar besitzt

💭 Der weitere Weg

  • Es ist nicht geplant, weiter Zeit mit endloser Nachverfolgung zu verschwenden
  • Aber ein Verhalten, das über mehr als zehn Jahre hinweg mit dem echten Firmennamen in Registrierungsdaten und über private Konten wiederholt wird, geht eindeutig zu weit
  • Solche Verhaltensweisen schaden der Gesundheit und Nachhaltigkeit des Open-Source-Ökosystems
  • Künftig wird die Einführung intelligenterer Beschränkungen geprüft, um Trial-Missbrauch zu verhindern
  • Ziel ist es, normale Nutzer nicht zu behindern und die begrenzte Energie auf echten Kundensupport und Software-Innovation zu konzentrieren
  • Abschließend gilt: Falls das betreffende Unternehmen dies liest, sollte es selbst jetzt noch versuchen, eine vernünftige und ethische Entscheidung zu treffen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-05-17
Hacker-News-Kommentare

  • In einer solchen Situation wird angeregt, Larry Ellisons Vorgehensweise als Vorbild zu nehmen und diesen Unternehmen offensiv zu begegnen: Die illegale Nutzung und die Versuche der letzten zehn Jahre dokumentieren, ein C&D-Schreiben (Cease and Desist) senden und ankündigen, dass sie die Nutzung innerhalb von 15 Tagen einstellen oder eine Lizenz erwerben müssen, andernfalls würden Lizenzen für zehn Jahre plus Zinsen und Strafzahlungen eingefordert. Im Fall rechtlicher Schritte wird auf mögliche Verstöße gegen den DMCA (Digital Millennium Copyright Act) hingewiesen, mit dem Hinweis, dass dieses Gesetz in den USA gilt und sogar strafrechtliche Verantwortung auslösen kann. Zudem wird empfohlen, als CEO ernsthaft über die Verantwortung nachzudenken, Vermögenswerte von Mitarbeitenden und Aktionären zurückzuholen.

    • Es handele sich um einen eindeutigen Fall von Diebstahl, sodass es wahrscheinlich gar nicht zu einem Gerichtsverfahren kommen müsse und das Unternehmen direkt einen Vergleich schließen werde. Tatsächlich könnten neben Verlusten in Millionenhöhe auch Strafzahlungen verhängt werden. Der Kern der Auseinandersetzung laufe darauf hinaus, wie viel an das geschädigte Unternehmen gezahlt werden müsse.

    • Vorgeschlagen wird, zunächst mit der direkten Maßnahme zu beginnen, jeden Monat Rechnungen zu schicken. Mit rechtlicher Beratung sollten die Rechnungen erstellt und wiederholt versandt werden; bei Nichtzahlung könne mit Inkasso gedroht werden. Das könne Zeit dauern, aber aus Erfahrung sei eine Eintreibung am Ende möglich.

  • Zur Formulierung „Aus ein paar gesparten Groschen wurde Performance-Kunst“ wird dazu aufgerufen, die Nachverfolgung voranzutreiben. Ob mit Prozess oder ohne: Mindestens die Offenlegung des Firmennamens könne als Warnsignal dienen. Man hoffe auf den positiven Effekt, dadurch unreife Manager austauschen zu können.

    • Es wird erwogen, den CEO direkt zu kontaktieren und die Lage zu schildern. Enttäuschend wäre allerdings, wenn die Umstände bereits bekannt sind und stillschweigend geduldet werden. Rechtliche Schritte werden momentan nicht erwogen, aber öffentlich auf das Fehlverhalten hinzuweisen solle im Ökosystem das Problembewusstsein schärfen. Auch die Nennung des Firmennamens wird vorerst zurückgestellt.

    • Es scheint sich tatsächlich um einen Verstoß gegen die Bedingungen einer kostenlosen Testlizenz zu handeln, und es wird infrage gestellt, ob man wirklich die Bezahlung für die eigene Arbeit verweigern wolle.

    • Es wird darauf hingewiesen, dass ein Blogbeitrag zu PR-Zwecken womöglich wirksamer sein könnte. Wenn Rocket Company die OSS-Community ausnutzt, sollte auch an eine Gegenleistung gegenüber OSS gedacht werden.

    • Es wird die Möglichkeit angesprochen, dass diese ganze Geschichte in Wirklichkeit Produktwerbung sein könnte. Die Erwähnung unbefugter Nutzung als Strategie, um das eigene Produkt zu bewerben, wird scherzhaft kommentiert.

    • Es gebe nicht viele Luft- und Raumfahrtunternehmen mit 130 Millionen US-Dollar Jahresumsatz und eigenen Satelliten, daher wird auf ein bestimmtes Unternehmen (Planet Labs) getippt.

  • Bei einem früheren Arbeitgeber teilten sich etwa 100 Personen einen einzigen kostenlosen Account über einen von einer Person gebauten Proxy. Selbst im Vergleich zu Wettbewerbern wurden Kosten nie erwähnt und die illegale Nutzung fortgesetzt. Obwohl auf die Rechtswidrigkeit hingewiesen wurde, kam keine Reaktion. Dahinter stecke nicht ein Kostenproblem, sondern die Vermeidung des Aufwands. Statt Überzeugungsarbeit herrsche eine Haltung des Ignorierens.

    • Es wird vorgerechnet, dass Rocket Company bei 30 Servern pro Monat über ein Jahr hinweg 600.000 US-Dollar und über zehn Jahre 3 Millionen US-Dollar gespart haben könnte. Um tatsächlich Entgelte für den Dienst zu erhalten, sei Kontrolle über die IT-Abteilung nötig.

  • Es gibt Zustimmung zum Humor und zum Beispiel hinter der Formulierung, dass aus ein paar gesparten Groschen Performance-Kunst werde. Betont wird, dass das eigene Personal womöglich bereits mehr an Arbeitskosten verbraucht als ein Produktkauf kosten würde. Aus Sicht eines Kunden ist es beunruhigend, wenn Unternehmen für missionskritische Aufgaben Testversionen einsetzen. Es wird ergänzt, dass es solche Fälle tatsächlich gibt.

  • Am enttäuschendsten sei, dass diese Situation überhaupt nicht überraschend ist. Daraus wird abgeleitet, dass man deshalb inzwischen bei kostenlosen Testversionen Kreditkarten verlange — nicht wegen versteckter Abbuchungen, sondern um Missbrauch zu erschweren.

    • Es wird angemerkt, dass die Kreditkartenpflicht in der Praxis keinen großen Effekt habe, während sie zahlende Nutzer zusätzlich belaste. Mit virtuellen Karten lasse sich das leicht umgehen.

  • Empfohlen wird, mit einer höflichen Mitteilung zu reagieren: „Die Testversion ist beendet, daher können wir keine weiteren Schlüssel ausstellen.“ Falls heimlich weiter zusätzliche Anmeldungen erfolgen, sollten Sperrungen und als letztes Mittel rechtliche Schritte erwogen werden. Letztlich gehe es darum, Kunden zur kostenpflichtigen Nutzung zu konvertieren. Wichtig sei ein höflicher, aber entschlossener Ton.

    • Empfohlen wird eine Automatisierung im Backend bei der Registrierung: Firmennamen und bekannte Aliasse erkennen und dann eine Nachricht wie „Sie sind nicht für das kostenlose Angebot berechtigt, unser Vertriebsteam meldet sich in Kürze!“ zurückgeben.

  • Aus Sicht eines CTO sei dieses Verhalten vollständig die Verantwortung des CTO von Aerospace Co. Zu Beginn könne die Nutzung eines kostenlosen Tiers sinnvoll sein, aber sobald Umsatz entstehe, müsse auf eine kostenpflichtige Variante gewechselt werden. Bedauerlich sei, dass es Leute in der Branche gibt, die sich für ein solches Verhalten entscheiden.

    • Dem wird zugestimmt, zugleich aber angemerkt, dass es wichtig sei, kostenlose Tiers kompetent zu nutzen. Nach persönlicher Ansicht seien SaaS-Free-Tiers dafür da, frühe Kosten zu senken. Bei größerem Maßstab stoße ein Free Tier am Ende ohnehin an Grenzen.

  • Es wird von einem Missbrauchsfall bei einem Empfehlungsprogramm in einem Consumer-Startup berichtet: Ein Nutzer wurde entdeckt, der jeden Monat mit konstantem Aufwand einen kostenlosen Monat herausholte. Obwohl selbst der Basisplan kaum Unterschiede aufwies, betrieb er diesen Aufwand weiter. Vermutet wird, dass dabei eher der Reiz, das System auszutricksen, oder der Spaßfaktor entscheidend ist.

  • Vorgeschlagen wird, die Situation ohne Nennung des realen Firmennamens als Marketingstrategie umzudrehen. Anonyme Kundenbeispiele könnten aktiv auf Marketingseiten verwendet werden. Nicht bezahlte Fälle ließen sich anonym nach Branche, Jahr und Nutzungsumfang aggregiert darstellen. Zusammen mit einem Wettbewerb für kreatives Schreiben könnten die Fälle untersucht und kostenpflichtige Lizenzen vergeben werden. In Kooperation mit Business Schools ließen sich Case Studies und Umfragen erstellen, um den PR-Effekt zu maximieren. Außerdem wird ein Update der Nutzungsbedingungen vorgeschlagen; mit der Zeit könnte das Vertriebsteam dann auf eine Umstellung auf mehrjährige Lizenzen hinarbeiten.

  • Aus Sicht einzelner Praktiker wird die Hypothese aufgestellt, dass SaaS-Käufe selbst wegen „Vendor Risk Assessment“ und anderer komplizierter Prozesse so schwierig sind, dass solche basisnahen Umgehungsstrategien entstehen.

    • Es wird ein Beispiel geteilt, dass übermäßig umständliche Beschaffungsprozesse tatsächlich zu genau solchen Phänomenen führen.