1&1 f**ked up. Big time.

Kurzfassung: 1&1 hat ein automatisiertes System, das zu unberechtigten Serversperrungen führt, ohne dass der Kunde davon erfährt.

Wait, what?

Genau. Aber ich greife vor. Also. Es ging wohl damit los, dass irgendjemand™ einen Abuse-Bericht gegen eine meiner Domains eingereicht hat. Auf der Domain betreibe ich unter anderem einen URL-Shortener, und dieser wurde genutzt, um Phishing-Seiten zu maskieren. So weit, so ungut. Nun liegen die Phishing-Inhalte aber nicht auf meinem Server, sondern auf einem fremden. Das ist die Natur von Weiterleitungen. Und hier begann die Fehlerkette.

FuckUp 1: Der Bericht wurde automatisiert angenommen und ungeprüft an mich weitergeleitet.
Bereits an dieser Stelle hätte auffallen müssen, dass die Inhalte nicht – wie in der Abuse-Meldung angegeben – auf meinem Server hinterlegt waren, sondern woanders. Gut. Könnte ich mit leben, wenn der Bericht mich erreicht hätte.

FuckUp 2: Der Bericht wurde per Mail an mich weitergeleitet.
Auch das ist prinzipiell nicht zu beanstanden. Doof ist dann nur, wenn die Mail mich nicht erreicht, weil Google (über die ich meine Mails betreibe) den Absender (1&1) als SPAM einstuft und mir die E-Mail nicht zustellt. Besonders doof, weil ich mit Sicherheit nicht der einzige bin, der über Google seine Mails bekommt.

FuckUp 3: Die E-Mail-Bounces interessieren keine Sau.
Wenn eine E-Mail bounct, generiert der empfangende Server eine Fehlermeldung. Die ist auch bei 1&1 aufgelaufen. Nur: Es scheint niemanden zu interessieren, ob da was zurückkommt. Ist ja auch nicht so wichtig, man hat seine Schuldigkeit vermeintlich getan.

FuckUp 4: Automatisierte Prozesse
Eine Abuse-Meldung löst einen automatischen Prozess aus, an dessen Ende die automatische Sperrung des KOMPLETTEN SERVERS steht. Puh. Okay, wären da tatsächlich Phishing-Inhalte, wäre das durchaus nachvollziehbar, aber siehe FuckUp 1. Und FuckUp 2. Und FuckUp 3. Denn die Benachrichtigung über diesen Prozess erfolgt natürlich über E-Mail.

FuckUp 5: Mehr Automatisierte Prozesse
Bevor es dann zur Abschaltung kommt, wird nicht nochmal telefonisch nachgehakt. Das System macht das automatisch. Ja, ich verstehe, dass man nicht bei jedem Hans, der für einsfuffzich im Monat eine Visitenkarte betreibt, telefonisch nachhaken will, weil es eine Abuse-Meldung gab. Aber wenn ich jährlich einen vierstelligen Betrag investiere, kann EIN Anruf irgendwie nicht zuviel verlangt sein.

FuckUp 6: Das Kundenmenu
Im Kundenmenu (wenn man sich einloggt) taucht eine Benachrichtigung zu den Nachrichten auf, die man zugesandt bekommen hat. Also zum Beispiel zur Abuse-Meldung, oder zur drohenden Sperrung. Leider nur, wenn man dies auf dem Desktop tut. Auf dem Telefon ist eine solche Benachrichtigung nicht sichtbar. Und auch nicht greifbar. Vielleicht bin ich da als Web Developer ziemlich empfindlich, aber ein Mobile-First-Ansatz ist gerade bei so kritischen Funktionalitäten Pflicht.

FuckUp 7: Geschäftszeiten
Der Server lässt sich laut Nachricht nur Montag bis Freitag zwischen 10:00 und 17:30 entsperren. Durch einen Techniker. WTF?!?? Ich hatte Glück, dass am Samstag doch noch jemand erreichbar war, wenn auch kurz vor knapp. Ist das echt eine Hostingdienstleistung für Geschäftskunden im Jahr 2017? Ein bisschen später angerufen, und meine kompletten Kunden wären über das Wochenende nicht erreichbar gewesen.

Zusammenfassung
1. Unberechtigte Abuse-Meldung
2. Kontakt nur per E-Mail
3. Keine Bearbeitung von Fehlern
4. Automatisierte Sperrung
5. Keine Rückfrage vor SERVERsperrung
6. Keine Meldungen im Kundenbackend
7. Service nur unter der Woche, Sperrung aber jederzeit

Ich bin froh, dass ich so gute Kunden habe, die entspannt mit der Situation umgehen. Der finanzielle Schaden hält sich in Grenzen, wenn man mal von ein paar Stunden Arbeitszeit absieht. Und dem, was in rund 36 Stunden an Geschäft entgangen ist. Ob sich 1&1 wirklich sicher ist, dass sie Geschäftskunden bedienen wollen? Vermutlich nicht. Das Privatkundengeschäft bringt wohl mehr Spaß.

1 Kommentar

  • Anke sagt:

    Apropos mobile-first: dein Blog lässt sich mobil über Safari nur im Reader-mod lesen, ansonsten fehlt seitens so einiges…

Kommentar verfassen