Viele Schweizer Zeitungsleserinnen und Zeitungsleser warten nach wie vor auf eine persönliche Information, dass der Logindienst gehackt wurde. Dies sei aus technischen Gründen nicht passiert, sagen die Betreiber. Eine Ausrede, schreibt Kolumnist Reto Vogt.
Das gemeinsame Loginsystem grosser Schweizer Medienhäuser wie Ringier und Tamedia wurde im Oktober gehackt. Mittlerweile ist «Onelog» wieder verfügbar und wird mit Ausnahme von Tamedia auch wieder genutzt. Dort soll es erst ab nächstem Jahr wieder eingesetzt werden, heisst es in einem aktuellen Beitrag bei Persönlich.com.
Was der Hack bedeutet, hat Adrienne Fichter für die Republik aufgeschrieben. Von mir folgt dazu eine kleine Recherche für das Medienmagazin Edito, die im Dezember erscheint. Und über die intransparente Kommunikation in der Sache haben wir von DNIP schon ausführlich berichtet.
Nun können wir im «Onelog-Buch» das nächste Kapitel aufschlagen:
Viele der gut zwei Millionen betroffenen Zeitungsleserinnen und Zeitungsleser warten auch einen guten Monat nach dem Cyberangriff auf eine proaktive Information seitens der Verantwortlichen. Dies sei nicht passiert, weil «weil eine solche Massenmail zu einer teilweisen Blockierung der Absenderadresse geführt hätte und in der Folge Passwortrücksetzungen dort nicht mehr funktioniert hätten», so das Argument im Q&A auf der Onelog-Website.
E-Mails sind kompliziert, ja. Aber…
Aus technischer Sicht ist die Aussage zumindest nicht ganz falsch. Der Massenversand von E-Mails ist kompliziert. Wenn man sich darüber unterhält, fallen zumindest in Tech-Meetings Begriffe wie DMARC, DKIM und SPF. Dabei handelt es sich um Methoden zur Authentifizierung von Absenderadressen beziehungsweise -domains. Wer diese nicht korrekt eingestellt hat, kann als «Spammer» identifiziert werden und läuft in Gefahr, dass die eigenen E-Mails nicht mehr zugestellt werden oder von Empfänger-Clients als Spam identifiziert werden. Ein Thema bei Massenversänden ist auch das «Anwärmen» neuer Domains. Auch hier geht es um Spam-Schutz und darum, die Reputation einer Domain langsam aufzubauen, indem die Anzahl verschickter E-Mails langsam erhöht wird.
Zumindest Letzteres sollte bei Onelog nicht mehr nötig sein. Über diese Domain wurden in der Vergangenheit schon massenhaft Transaktionsmails verschickt, zum Beispiel an neu registrierte User oder wenn jemand sein Passwort vergessen hat. Ich weiss, dass das nicht dasselbe ist, wie der Versand einer Information an alle Nutzerinnen und Nutzer gleichzeitig. Trotzdem: Es wäre zum Beispiel problemlos möglich gewesen, am ersten Tag 10’000 Nutzerinnen und Nutzer zu informieren, am zweiten 15’000 und am dritten 20’000 – so lange, bis halt alle die entsprechende E-Mail erhalten haben.
Konfiguration verbockt?
Und sollte Onelog die Konfiguration der Domain verbockt haben und der Massenversand deshalb tatsächlich nicht möglich gewesen sein, dann hätte vielleicht ein kurzer Austausch mit den Kollegen aus der «Newsletter-Abteilung» geholfen. Diese haben schliesslich genügend Erfahrung im täglichen Versand von Massenmails. Wenige haben das getan, darunter die Zeitungen Blick und Handelszeitung sowie das Magazin Beobachter. Aber die allermeisten der knapp 50 angeschlossenen Medien haben darauf verzichtet.
Man kann sich das Meeting im Hause Onelog im Vorfeld der Publikation dieser Massenmail-Erklärung regelrecht vorstellen:
Kommunikation: Kolleginnen und Kollegen, wir müssen etwas sagen.
Marketing: Es muss gut klingen und darf uns nicht schaden.
IT: Per E-Mail können wir nicht zwei Millionen Leute anschreiben, weil kompliziert.
Marketing und Kommunikation (gleichzeitig, laut werdend): Warum kompliziert? Andere können das doch auch!
IT (Verteidigungshaltung): Uns hat niemand gesagt, dass das möglich sein muss!
Kommunikation (fordernd): Aber wir müssen nach Aussen etwas sagen.
IT (lösungsorientiert): Sagt einfach, dass es nicht geht. Die Leute glauben das schon. IT ist schliesslich immer kompliziert.
Eine bequeme Ausrede
Und so wurde es gemacht. Weil es tatsächlich etwas kompliziert ist und auch der Weg des geringsten Widerstandes. Aber wie ich zuvor aufgezeigt habe, hätte es relativ simpel umsetzbare Möglichkeiten gegeben, die Leserinnen und Leser trotzdem zu informieren – wenn man denn gewollt hätte.
Das technische Argument mag auf den ersten Blick valide wirken, ist aber letztlich eine bequeme Ausrede. Statt die Verantwortung ernst zu nehmen, hat man den einfacheren Weg gewählt. Ich finde das mindestens schade. Eine offene Frage bleibt bis auf Weiteres derweil, ob sich der Eidgenössische Datenschutzbeauftragten (Edöb) mit dieser Ausrede zufriedengibt oder nicht.
Eine Antwort
onelog.ch hat SPF, aber die Mails kommen von services.onelog.ch …