Die E-Mail, die sie nicht hätten lesen dürfen

 (it-notes.dragas.net)
2 Punkte von GN⁺ 2025-10-09 | 1 Kommentare | Auf WhatsApp teilen
  • Eine auf realen Ereignissen basierende Geschichte über die Risiken von Vendor lock-in und aggressiven Geschäftspraktiken
  • Öffentliche Einrichtungen wollten ihr Mail-System auf eine Open-Source-basierte Lösung umstellen und sahen sich dabei mit unfairen Verträgen und dem Verdacht auf Überwachung durch den Anbieter konfrontiert
  • Versteckte Klauseln im Vertrag und einseitige Änderungen blockierten einen freien Ausstieg der Kunden und ließen die Verwaltungskosten stark ansteigen
  • Obwohl sich Hinweise auf Überwachung und das Lesen von E-Mails tatsächlich zeigten, interessierten sich die Organisationen eher für steigende Kosten als für rechtliche oder ethische Konsequenzen
  • Selbst bei Unternehmen, die sich den Open-Source-Gedanken auf die Fahnen schreiben, kann es zu Missbrauchsfällen kommen, was der gesamten Branche Vertrauen entzieht und nur ein negatives Image hinterlässt

Vorwort des Autors

  • Diese Geschichte basiert auf tatsächlichen Erfahrungen, doch zum Schutz der Identität von Personen und Unternehmen wurden Technik, Details und Teile des Kontexts verändert oder miteinander vermischt
  • Sie sollte als typischer Fall gelesen werden, um die in der IT-Branche weitverbreiteten Probleme von Vendor lock-in und aggressiven Geschäftspraktiken zu beleuchten

Verlauf – Einführung eines neuen Mail-Systems

  • Vor einigen Jahren nutzte eine große öffentliche Einrichtung (Agency A) einen veralteten Exchange-Mail-Server
  • Sicherheitsupdates waren schon lange nicht mehr eingespielt worden, wodurch ein hohes Expositionsrisiko bestand, und es kamen Vorgaben auf, die die Einführung von Open Source empfahlen
  • Ein externer Dienstleister bot einen Managed Service auf Basis eines Open-Source-Mail-Stacks mit eigenen Erweiterungen und Enterprise-Support an
  • Das Preisniveau lag ähnlich wie bei vergleichbaren Angeboten am Markt, war gemessen an der tatsächlich erbrachten Leistung jedoch deutlich überhöht
  • Agency A verfügte bereits über eine vertrauenswürdige Infrastruktur (mehrere Rechenzentren, robuste IP-Bereiche usw.)
  • Die Anfrage der Einrichtung lautete, „diese Lösung zu evaluieren und bei Eignung zu migrieren“ (Umfang: etwa 500 Mailboxen und Aliasse)

Pilotphase und erfolgreiche Migration

  • Der Autor setzte den betreffenden Open-Source-Stack in einer nicht-kritischen Umgebung und bei einigen Testkunden zu einem reduzierten Preis ein und validierte ihn über ein Jahr hinweg ohne Probleme
  • Zufrieden mit der Flexibilität des Designs empfahl er Agency A eine Pilotmigration
  • Neue Server wurden aufgebaut, für frühe Teilnehmer die Domain-Konfiguration vorgenommen und die Migration schrittweise durchgeführt
  • Nach der Umstellung der MX-Records lief alles stabil weiter, und auch das interne Team der Organisation konnte den Betrieb ohne größere Probleme aufrechterhalten

Gerüchte verbreiten sich und eine zweite Einrichtung

  • Agency B war bereits Kunde desselben Managed-Service-Anbieters
  • Nachdem Vorteile wie eine Senkung der Gesamtkosten auf ein Zehntel, mehr Datenautonomie und höhere Stabilität sichtbar wurden, interessierte man sich dort ebenfalls für eine Migration
  • Allerdings liefen noch 2 Jahre eines Vertrags mit automatischer Verlängerung um 5 Jahre, und durch eine Klausel mit 6 Monaten Vorankündigung bestand ein gewisser zeitlicher Spielraum
  • Aus Sorge vor der aggressiven Vertriebspolitik des Anbieters und möglichen Vergeltungsmaßnahmen wurden die Vorbereitungen streng vertraulich getroffen
  • Nach Fertigstellung der Konten-, Alias- und Testkonfiguration war die eigentliche Migration passend zum Zeitpunkt der Kündigungsmitteilung geplant

Eine dritte Einrichtung taucht auf und ein böses Gefühl

  • Auch Agency C nutzte denselben Anbieter und zeigte den Willen, auf denselben Open-Source-Stack umzusteigen
  • Der Autor reichte Agency C ein separates Angebot ein, erwähnte dabei jedoch keinen Zusammenhang mit Agency B
  • Der Prozess schien reibungslos zu verlaufen, bis unerwartet eine SMS-Nachricht eintraf („Ich kann keine E-Mail senden“)

Behinderung der Kündigung und Hinweise auf ein Leck interner Informationen

  • Der IT-Verantwortliche von Agency B teilte mit, dass es „Probleme bei der Kündigung gab und die internen Vorbereitungen zum Ausstieg dem Anbieter bekannt geworden waren“
  • Der Anbieter hatte interne Pläne der Einrichtung und sogar das Angebot des Autors für Agency C erhalten
  • Agency C wurde vom Anbieter mit der Behauptung unter Druck gesetzt, man sei der „einzige autorisierte Installationspartner für diese Software“, verbunden mit Vorwürfen unlauteren Wettbewerbs und rechtlichen Drohungen
  • Aus Sorge vor einem möglichen Streit gab die Einrichtung ihre Migrationspläne auf

Verdacht auf Mitlesen von E-Mails und ein Test

  • Bei Agency C stellte sich heraus, dass das token-authentifizierte Konto eines ehemaligen externen Vertragsadministrators Zugriff auf alle E-Mails hatte
  • Die betreffende Person gestand ein, den Anbieter „informiert“ zu haben, bestritt jedoch, den Autor erwähnt zu haben
  • Um den Verdacht des Mitlesens von E-Mails zu verifizieren, wurde über einen Bekannten im Ausland ein gefälschtes Angebot verschickt, worauf der Anbieter diese Information sofort ansprach
  • Damit zeigte sich mit sehr hoher Wahrscheinlichkeit, dass ein Zugriff auf E-Mails möglich war

Schockierende Vertragsklauseln und die Reaktion des Anbieters

  • Als das IT-Team offiziell protestierte, verwies der Anbieter darauf, dies sei „gemäß den Vertragsklauseln zulässig“, und zeigte auf einseitige Änderungen, die zwei Jahre zuvor akzeptiert worden waren
  • Beispiele dieser geänderten Klauseln:
    • Verlängerung der Kündigungsfrist von 6 auf 12 Monate
    • Möglichkeit, kostenlose Dienste in kostenpflichtige umzuwandeln
    • Sperrung des Zugriffs außerhalb des Webmail unter dem Vorwand der „Sicherheit“ (tatsächlich sofort umgesetzt)
  • Solche Praktiken waren noch in einer Zeit vor der Einführung der DSGVO möglich, als die Regulierung nicht ausreichend war

Zögerliche Reaktion und weiterer Schaden

  • Der Autor versuchte selbst, die Vorwürfe zu fairem Wettbewerb und zum Streit um einen nicht anerkannten Installationspartner aufzuklären, doch der Anbieter reagierte auf Kontaktversuche nicht
  • Er empfahl beiden Einrichtungen rechtliche und ethische Untersuchungen, doch tatsächlich konzentrierte man sich nur auf die Kostensteigerungen (Bepreisung zuvor kostenloser Funktionen, zusätzlich 30 % Mehrkosten)
  • Die Organisationen beendeten die Angelegenheit, indem sie nicht interne Korruption oder Datenschutzverletzungen, sondern allein die Budgetbelastung zum Problem erklärten

Schluss und Implikationen

  • Jahre später waren alle verantwortlichen Direktoren ausgetauscht, und nur das Technikteam blieb zurück – mit Reue und größerer Vorsicht
  • Am Ende lief es lediglich auf einen Wechsel zu einem sichereren, aber nicht innovativen Anbieter hinaus
  • Der Autor konnte das Problem letztlich nicht an der Wurzel lösen
  • Wenn ein Unternehmen, das mit „Open-Source-Support“ wirbt, auf diese Weise Vendor lock-in oder unethisches Verhalten praktiziert, wird die gesamte Branche in Mitleidenschaft gezogen
  • Der Kern des Problems ist nicht die Software, sondern die Haltung der Menschen, die mit ihr umgehen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-09
Hacker-News-Kommentare

  • Offenbar war jemand, der früher kommissarischer IT-Manager war, über Token-Authentifizierung weiterhin mit dem E-Mail-Client verbunden und hatte Zugriff auf alle Nachrichten. Diese Person war ursprünglich auch diejenige, die den Vertrag mit dem Anbieter abgeschlossen hatte. Auf informelle Nachfrage hieß es, man habe sich nur gemeldet, um "zu warnen", und es sei kein großes Problem gewesen. So ein Verhalten fühlt sich wirklich unangenehm an. Es sind genau diese Leute, die etwas leaken oder gegen Regeln verstoßen und dann sagen, es sei "nichts gewesen". Ein Director, mit dem ich arbeite, hat sich mehrfach ähnlich verhalten. Wenn er auf Konferenzen Software entdeckt, setzt er sofort eine Demo an und schlägt einen Vertrag vor. Und er verspricht zuerst externen Dienstleistern, die er kennt, schon einmal Arbeit. Erst danach meldet er sich bei mir, obwohl er gar nicht die Befugnis hat, den Vertrag tatsächlich abzuschließen. Selbst nachdem mir die Produktauswahl übertragen worden war, ist das noch zweimal passiert. Jedes Mal hatte ich einen anderen Manager, aber beide sagten nur, das sei "kein Problem". Am Ende wurde der Director darauf hingewiesen, dass dieses Versprechen von Arbeit und das Vorbereiten von Verträgen einen schweren Verstoß gegen die Unternehmensrichtlinien darstellt. Das kümmerte ihn nicht; er meinte, das sei eine interne Angelegenheit und niemand könne ihn deswegen sanktionieren. Später, als wir das Produkt prüften, versprach es, mit der Zeit "besser zu werden", während gleichzeitig sämtliche Unternehmensdaten einfach in eine AI eingespeist wurden. Die Regeln für Unternehmens-Datensicherheit wurden völlig ignoriert. Auch da reagierte der Director gleichgültig mit: "Wo ist das Problem, alle lesen doch die Daten anderer." Am Ende musste die Rechtsabteilung eingreifen und die AI-Funktion abschalten. Gegen solche böswilligen oder rücksichtslosen Kollegen vorzugehen, ist wirklich schwer, besonders wenn die Person über einem steht. Sie tun es einfach als Fehler ab, und niemand kann sie belangen

    • Ich habe bei zwei Fortune-100-Unternehmen gearbeitet. Ich habe mehrfach ganz offen erlebt, wie Manager persönliche Kickbacks von Anbietern angenommen haben. Nachdem ich das öffentlich angesprochen hatte, wurde ich zu mehreren Meetings nicht mehr eingeladen

    • Was der Director getan hat, erinnert stark an das, was ich von HR-Directors ständig gesehen habe. Diese Leute lieben es geradezu, alle zwei bis drei Jahre ohne jede Abstimmung teure Performance-Review-Software auszutauschen. Immerhin ist Lattice, das aktuell bevorzugte Tool, UX-seitig ganz brauchbar, aber PeopleSoft, das wir vorher hatten, war wirklich schlimm

  • Die Anforderung war eigentlich simpel: "Evaluiert diese Lösung, und wenn sie passt, migrieren wir." Trotzdem musste ich den Text mehrmals lesen, um ihn richtig zu verstehen. Mit der Lösung ist hier nur der Open-Source-Stack gemeint, ohne den im vorherigen Absatz erwähnten Anbieter. Zuerst dachte ich, der Anbieter sei mitgemeint, aber dann wurden immer weiter Vergleiche gezogen, was verwirrend war

    • Ich habe das auch erst nach ein paar Absätzen verstanden

    • Interessant. Ich habe genau an dieser Stelle aufgehört zu lesen

  • Klingt für mich nach Oracle. Natürlich macht Oracle so etwas viel raffinierter, aber ich rate Leuten grundsätzlich, Oracle-Produkte nach Möglichkeit zu meiden

  • Ich hoffe, dass diese Geschichte irgendwann einmal mit echten Namen veröffentlicht wird

    • Laut dem Autor ist das betreffende Unternehmen extrem klagefreudig. Es ist nur verständlich, dass man vermeiden möchte, von ihnen persönlich verklagt zu werden. Selbst die eigenen Direktoren würden sich wohl nicht mit dieser Firma anlegen

    • Da war der Wunsch, dass "irgendwann echte Namen genannt werden". Die Antwort lautete jedoch, man schreibe anonym, um die "Privatsphäre der beteiligten Personen und des Unternehmens" zu schützen. Dabei frage ich mich schon, ob Unternehmen inzwischen auch ein Recht auf Privatsphäre haben, aber ich kann das Gefühl nachvollziehen. Ich habe einmal bei einer Firma gearbeitet, die während einer Naturkatastrophe etwas völlig Unentschuldbares getan hat. Als ich das Problem ansprach, wurde nur ich sanktioniert, während meine Kollegen still alles hinnahmen. Ich habe dann bei der ersten Gelegenheit gekündigt. Das ist inzwischen 20 Jahre her, aber selbst jetzt ist es nicht leicht, darüber etwas aufzuschreiben. Es ist Jahrzehnte her, die Namen und die Führung haben sich längst geändert, und man fragt sich, was überhaupt noch davon übrig ist. Deshalb gibt es auf meinem Blog einen dead-man's switch, der automatisch üble Geschichten aus verschiedenen Firmen veröffentlichen würde, aber ich bezweifle, dass es irgendetwas ändern würde. Es würde mich wahrscheinlich nur wieder wütend machen oder wäre bedeutungslos. Trotzdem bin ich auf HN auch einer von denen, die immer nach echten Namen rufen, also ist das am Ende auch widersprüchlich

    • Leider sitzen sie in der EU, wo Meinungsfreiheit rechtlich und kulturell offenbar nicht denselben Stellenwert hat

  • Dieser Typ scheint wirklich in einem "Minenfeld" zu arbeiten. Jeder einzelne Schritt löst Probleme aus, und dazu kommen mächtige Gegner verwandter Link

    • Solche Minenfeld-Umgebungen sind in Wirklichkeit der Normalzustand im italienischen Geschäftsökosystem. Italien wird von kleinen familien- und bekanntschaftsgeführten Unternehmen dominiert, und solche Dinge passieren dort täglich. Falls die Geschichte stimmt, würde ich vermuten, dass der Autor irgendeine Verbindung zur Guardia di Finanza hat. Diese Behörde hat über kleine Unternehmen fast Macht über Leben und Tod

  • Vielleicht verwechsle ich Zeitzonen oder Beteiligte, aber es heißt, "diese Firma habe ein selbstverwaltetes Produkt mit eigenen Features vorgeschlagen" — da frage ich mich, ob das überhaupt noch Open Source ist

    • Es gibt viele Projekte dieser Art. GitLab hat zum Beispiel eine Open-Source-Community-Edition und dazu kostenpflichtige Premium- und Ultimate-Editionen

    • Das ist ein klassischer Fall von "dem Wortlaut des Gesetzes folgen". Nach europäischem Recht, besonders in einzelnen europäischen Staaten, ist der Einsatz von Open Source im öffentlichen Sektor oft verpflichtend — aus Gründen wie Interoperabilität, Vermeidung von Vendor Lock-in, digitaler Souveränität und dem Prinzip "öffentliches Geld = öffentlicher Code". Wenn man Open Source auf den Servern anderer verwendet, erfüllt man technisch gesehen zwar die Pflicht, aber wenn man an die eigentlichen Gründe für Open Source denkt, vor allem die Vermeidung von Vendor Lock-in, wird die Situation ziemlich absurd

  • Man sollte die Details eines Vertrags immer sorgfältig lesen, bevor man unterschreibt. Das gilt schon für gewöhnliche Verbraucherverträge, bei Geschäftsverträgen aber erst recht

    • Auch kleine Geschäftsverträge sind keine Ausnahme. Bei einer Non-Profit-Organisation, in deren Vorstand ich sitze, haben Mitarbeiter nach einem Büro-Multifunktionsgerät gesucht und dann den Vertrag mitgebracht. Sie sagten, alles sei bereits geprüft, ich solle einfach unterschreiben, aber die Klauseln waren wirklich schockierend. Zum Beispiel stand dort, dass wir bei einer Kündigung aus beliebigem Grund — selbst wenn die Gegenseite den Vertrag nicht erfüllt — sofort die gesamte verbleibende Vertragssumme zahlen müssten. Es war als Mietmodell aufgebaut: Der volle Gerätepreis war in die Monatsraten eingerechnet, während das Eigentum am Gerät beim Anbieter blieb. Selbst bei einer Kündigung würde also das Gerät dem Anbieter gehören, und wir würden trotzdem alles bezahlen. Falls es zu einem Rechtsstreit käme, müssten wir zudem sämtliche Anwaltskosten tragen. Ich habe gesagt, dass ich dem nie zustimmen würde, und die Mitarbeiter waren fast ein Jahr lang verärgert über mich, weil anderswo angeblich alle so etwas unterschreiben

    • Der Rat lautet zwar, auch das Kleingedruckte sorgfältig zu lesen, aber wenn man den Beitrag liest, bringt selbst das oft nichts. Vertragsbedingungen werden immer häufiger "einseitig" geändert, ohne die Parteien darüber zu informieren. In der IT-Branche ist das fast schon Alltag. Man kann das Kleingedruckte eines bereits unterzeichneten Vertrags noch so genau prüfen — es ist nutzlos, wenn es danach geändert wird. Heutzutage kann man sich schon glücklich schätzen, wenn überhaupt eine E-Mail kommt, dass die AGB geändert wurden. Die Haltung ist: Was willst du schon machen, wenn du nicht zustimmst? Jeder, der kein Anwalt ist, würde wohl sagen, dass das illegal ist, aber weil Gerichte dem kaum ernsthafte Grenzen setzen, geht es einfach immer weiter

    • Bei der Entscheidung sollten auch Zeit und Aufwand für die Vertragsauslegung, die Prüfung und das Risiko von Fehlinterpretationen als Kosten mit eingerechnet werden. Unter diesem Gesichtspunkt ist es oft besser, manche Verträge gar nicht erst einzugehen

    • Ich würde gern wissen, wie solche "Klauseln zur einseitigen Änderung" praktisch funktionieren. Wenn einem die neuen Bedingungen nicht gefallen, muss man dann sofort mit sechs Monaten Vorlauf kündigen?

    • Ich war schockiert, als ich den Registrierungsvertrag von ID.me gelesen habe. Dort wird "freiwillig" ein Verzicht auf Bürgerrechte verlangt. Deshalb möchte ich den Dienst nicht nutzen. Aber für den Login bei IRS.gov gibt es offenbar keine andere Möglichkeit. Um YouTube zu schauen, braucht man ein Google-Konto. Um in einer Elterngruppe im Gruppenchat mitzumachen, muss man den Meta-Bedingungen von WhatsApp zustimmen. Solche Fälle nehmen einfach kein Ende

  • Ich bin kein Rechtsexperte, aber ich würde vermuten, dass der Vertrag selbst nichtig sein sollte, weil schon der Zweck, zu dem sie die E-Mails gelesen und daraufhin gehandelt haben, eindeutig illegal war

    • Besonders schockierend wäre das, wenn es sich um eine Regierungsbehörde handelt. Was wäre, wenn ein externer Anbieter heimlich eine Backdoor in den E-Mail-Server eingebaut und E-Mails verdeckt überwacht hätte? Das könnte alles Mögliche sein, von Korruption bis zu ausländischen Geheimdienstaktivitäten. Wäre das in den USA passiert, hätten FBI oder CIA solchen Anbietern wohl gründlich das Handwerk gelegt

    • Genau. Das Problem ist, dass eine Kündigung bedeutet, sich vor Gericht mit einer extrem feindseligen Gegenseite anzulegen, die alles versuchen wird, damit wir noch mehr zahlen. Manche Organisationen gewichten Sicherheit höher als Ethik und schlucken deshalb lieber die zusätzlichen Kosten. Andererseits gibt es durchaus Unternehmen, die gegen unfaire Patentklagen oder die Abschaffung absurder Vertragsklauseln kämpfen. Die Organisation in diesem Fall gehörte eindeutig nicht zu dieser Sorte

    • Keine Rechtsberatung, aber ich finde, so etwas sollte unbedingt unter echtem Namen öffentlich gemacht werden, um andere zu warnen

  • Ich vermute, viele HN-Leute haben Ähnliches erlebt. Wir haben einmal heimlich an einer Systemabschaltung gearbeitet, während unser Unternehmen und ein Partner denselben Codebestand teilten. Einer unserer Entwickler hat in einem Commit etwas wie "Reversing Migration Script" hinterlassen, und weniger als eine Stunde später kam es zwischen den CEOs beider Firmen zu einem massiven Zusammenstoß. Erst später haben wir erfahren, dass die andere Firma solche Begriffe im Code in Echtzeit überwacht hat und sofort aktiv wurde, sobald sie Anzeichen für einen Ausstieg sah. Dabei wäre die Beendigung ohnehin rechtmäßig und vertragskonform vor Ablauf gewesen, also nichts besonders Ungewöhnliches. Nachdem wir im Nachhinein von dieser Überwachung erfuhren, begann intern eine regelrechte Hexenjagd nach dem vermeintlichen "Spion". Das war wirklich eine harte Erfahrung. Inzwischen scheint solch psychopathisches Verhalten ganz normal geworden zu sein. Wahrscheinlich bin ich einfach altmodisch und arbeite noch zu naiv, weshalb so viele Firmen lieber nur Leute in ihren Zwanzigern einstellen wollen /halb im Scherz

    • Es wäre gut, wenn du genauer teilen könntest, wie sie überwacht haben. Aus solchen Fällen kann man viel lernen

    • An Stellen, die wahrscheinlich überwacht werden, sollte man einfach Variablennamen einbauen, die zuverlässig Trigger auslösen — so wie bei den alten NSA-Witzen

  • Es heißt zwar "Horrorgeschichte nach wahren Begebenheiten", aber ich frage mich, ob es wirklich echt ist. Es wäre viel interessanter, wenn die Details tatsächlich stimmen würden

    • Es wird ausdrücklich erwähnt, dass "zum Schutz der Privatsphäre Technik, Umstände und einige Details verändert oder mit anderen Erfahrungen vermischt wurden". Das ist im Grunde dieselbe Logik, nach der Medien falsche Namen verwenden, um Verleumdungsklagen zu vermeiden