Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Dienstag, 13. September 2005, 15:27

Mich tritt ein Pferd

Also ich glaube, mich tritt ein Pferd. Ein Kunde hatte durch ein unsicheres CGI, das von außen zum Spam-Versand missbraucht werden konnte, tausende E-Mails an AOL geschickt.

Wir haben das Problem anhand der Beschwerden über Spam bemerkt, das Skript wurde von uns analysiert, deaktiviert, der noch nicht verschickte Spam gelöscht, der Kunde wurde informiert. Für all das haben wir ihm 25,86 Euro netto (30 brutto) in Rechnung gestellt. Kein Entgelt, das den wirklichen Aufwand deckt.

Nun sieht der Kunde es nicht ein, den Betrag zu zahlen. Soweit ja nichts Neues. Jetzt kommt aber der "Hammer". Er möchte, dass wir ihm Geld bezahlen. Begründung? Er kann nicht verstehen, dass wir seine CGIs sperren, wenn Sie Spam verschicken.
Eine Rückvergütung für unseren Aufwand und Schaden wäre eher angebracht.
...
Sollten Sie tatsächlich dies nicht in einen Kunden investieren wollen, um ihn bzw sein Vertrauen wieder zu gewinnen, dann möchten wir hiermit den Vertrag zum nächstmöglichen Termin kündigen.

:kopf-wand: Sorry, aber habe ich irgendwas nicht verstanden? Wie kommt man auf solch eine Idee? Was muss man morgens nehmen? ;-)

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Sebastian

Tja so sind die Kunden,

ich habe bemerkt das SPAM von der Art in den letzten Tagen rasant zugenommen hat, irgendwelche Bots grasen Seiten ab und suchen nach Kontaktformularen, die sie ausnutzen... Immer indem Header durch zeilenumbrüche so gefälscht werden, dass die Mail an einen anderen Empfänger geht als vom Formularinhaber beabsichtigt.

Observer

Auf manche Kunden kann man verzichten.

Pascal

Der letzte Satz könnte von nem Anwender bei uns inner Firma kommen :D

Ronald Werner

Kündigung schon bestätigt? oder in die Mauer gebissen und den Kunden mal angerufen?

Manuel Schmitt

Ich habe ihm gesagt, dass er dann eben kündigen soll. Auf solch einen Kindergeburtstag habe ich keine Lust.

Ronald Werner

kann ich gut nachvollziehen

joxy

ob das so ein optimales verhalten war? ich hätte ihm die sache so erklärt wie sie ist - auch wenn der kunde blöd ist, betont höflich. der kunde ist könig.

so hättet ihr einen kunden behalten können, wie ihrs gemacht habt verliert ihr ihn garantiert

Manuel Schmitt

Wir haben ihm es in ca. 10 E-Mails erklärt, die alleine zu schreiben ist schon nicht mehr rentabel. Trotzdem haben wir es getan. Wenn der Kunde aber dann zunehmen frecher wird, dann hat die Partnerschaft keinen Sinn mehr.

Es geht nicht darum, auf Gedeih und Verderb "zusammen" zu bleiben!

-thh

Welchen Grund gibt es, einen Kunden behalten zu wollen, der mehr Aufwand produziert, als er an Gewinn einbringt und zudem geeignet ist, den eigenen Ruf - durch den Spamversand - zu gefährden? Mir jedenfalls fällt keiner ein.

Manuel Schmitt

Man will es eben möglichst jedem Recht machen :-)

Hmm

Was mich daran wundert: ihr "analysiert" irgendwelche CGIs eurer Kunden? Eigentlich sollten die Daten der Kunden euch überhaupt nichts angehen, oder? Deaktivieren und den Kunden verständigen würde ich noch verstehen, aber mehr nicht.

Manuel Schmitt

Wir machen sicher keine CGI-Analyse mit Performance-Optimierung etc. Wir schauen uns die Daten an, z.B. weil man oft auf den ersten Blick etwas wie

mail($_REQUEST['recipient'], ...)

sehen kann. Dann ist meist alles klar.

Dem Kunden sagen "Guckst Du selber" führt meist zu Unmut, dann will er wissen "Wie weshalb warum sagt Ihr es mir".

Christian

Ich finde das nicht in Ordnung. Ihr habt als Provider m. E. kein Recht ohne Auftrag die Sourcen der Webanwendungen Eurer Kunden Euch anzuschauen. Selbst wenn es nur ein 08/15 Skript ist,das von irgendeiner Seite heruntergeladen und dort installiert wurde.
Auf Beschwerde hin könnt ihr gerne den ganzen Account deaktivieren und den Kunden die Möglichkeit geben das Problem zu lösen, aber einfach in fremde Quellcodes reinschauen ist nicht ok.

Frank

Es kommt auf den Vertrag an. Ich finde das Vorgehen durchaus in Ordnung denn:

- die restliche Webanwendung des Kunde ist weiterhin erreichbar. Beim kompletten Sperren ist dies nicht der Fall.

- Es zeugt von Kundenfreundlichkeit sich die Arbeit zu machen und dem Kunden eine genaue Fehleranalyse zu geben.

Genau solche uneinsichtigen Kunden sind es doch die mit zur verbreitung von Spam führen. Wenn Sie sorgfältiger ihre Scripte prüfen würden bzw. sich Rat holen wenn sie es nicht wissen wären wir alle einen Schritt weiter.

Manuel Schmitt

FULLACK!

Christian

Sicherlich kommt das auf den Vertrag an. Wenn dies explizit in den AGB steht sag ich ja da auch nichts dagegen. Wenn ich als Kunde aber z.B. eine lizensierte Software einsetze, dann hat der Provider (auch wenn er nichts weitergibt) nicht das Recht auf Sourceneinsicht. Ob es kundenfreundlicher ist in diesem Fall egal. In meinen Augen hat das Datenschutzrechtlich schon Bedeutung.

Frank

Das Datenschutzgesetz kommt hier nicht zur Anwendung. Oder welchen Par. siehts Du hier für zuständig?

Manuel Schmitt

Wir machen uns den Code weder zu Nutze noch veröffentlich wir das noch sonst etwas. Wir treten lediglich den Beweis an, dass der Kunde der Verursacher ist. Dazu müssen wir ihm zumindeste sagen "da und da" liegt das Problem.

Wer damit ein Problem hat, darf gerne zu S***** oder 2mal2 gehen, dort wird man ihn einfach sperren und dann darf er kündigen, wenn er wieder eine Präsenz haben will.

Christian

Manuel schrieb: "Dazu müssen wir ihm zumindeste sagen "da und da" liegt das Problem."
dazu musst Du aber nicht die Pasage im Quellcode ihm zeigen, das kannst Du gerne bei Auftrag machen und ihm dann auch berechnen, oder unter Kundendienst verbuchen.

Es langt wenn Du dem Kunden beispielsweise ein Auszug aus einem Log zeigst und ihm sagst: Von deiner Präsenz kommt SPAM, da kann er sich selber, da er seine Dienste wohl am besten kennt an den Fingern abzählen, welcher seiner Dienste Emails verschickt. Wenn er den Fehler nicht beheben kann, kann er Euch oder einen anderen Dienstleister bitten dies für Ihn zu erledigen. Oder im Falle einer lizensierten Software kann er dem Hersteller in den ***** treten.

Manuel Schmitt

Arbeite mal im Hosting-Endkundenbusiness.

Mal ehrlich. Den Aufwand für den ganzen E-Mail-Verkehr hin und her erstattet einem eh keiner. 2h Techniker plus 1 Stunde Supportler schaffe ich nicht mit 30 Euro. Wenn ich ehrlich bin, müsste ich 300 Euro nehmen. Aber wer würde das bezahlen?

Ich vermeide so den ganzen Aufwand und zeige ihm direkt seinen Fehler.

Ein anderer Aspekt. Indem ich ihm das vorab beweise, behalte ich mir die Möglichkeit, ihm direkt eine Verletzung seiner Sorgfaltspflichten nachweisen zu können. Es gab auch schon Kunden, die haben auf solche Dinge hin das Zeugs gelöscht und gesagt "Jetzt beweis Du mir mal..."

That's life. Wir gehen so damit um, und davon lasse ich mich nicht abbringen!

Hmm

Der Punkt ist: wenn es nicht explizit in den AGB steht, ist es illegal, was ihr da treibt. Ob das für euch Zeit spart oder nicht, ändert daran nichts.

Ich weiss jetzt aber, wo ich nie meinen Webauftritt hosten werde. Ich will trotzdem weg von Netbeat, nur muss ich mir jetzt wohl ein anderes Ziel als das bisher in Betracht gezogene suchen.

Manuel Schmitt

Siehst Du. Dann war dieser Beitrag gut, um festzustellen, dass wir beide einfach nicht zueinander passen. Sieh es positiv!

Wolfgang

Also wie man sich daran so hochziehen kann ist mir absolut unerklärlich. Ist doch super wenn der Hoster gleich sagt wo das Problem ist anstatt einen Account komplett zu sperren und den Kunden erstmal alleine zu lassen. Wer von den 08/15 Kunden ist schon in der Lage eine Schwachstelle in einem Script herauszufinden, das heisst dann im Normalfall dass die Website für Tage nicht erreichbar ist bis die Agentur des Kunden da mal etwas macht (und dann kannste von Glück sagen wenn dort jemand sitzt der von Sicherheit bei Webanwendungen etwas Ahnung hat). Von mir: thumbs up, guter Service!

Manuel Schmitt

Danke!

Hermann

Ich finde das auch nich ok und halte das rechtlich auch für angreifbar:

"§202a Auspähen von Daten
1. Wer unbefugte Daten, die nicht für ihn bestimmt und gegen unberechtigten Zugang besonders gesichert sind, sich oder einemanderem verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft."

Da ihr root-Rechte habt können die Daten technisch nicht gegen Euch geschützt werden, das zählt aber nicht, da sie wohl gegen die Allgemeinheit geschützt sind.

Frank

Nein, dieser Par. greift hier m.E. nicht.
Der Par. sagt ganz klar: unberechtigten Zugang. Der Zugang ist aber berechtigt (zur Abwendung von Schaden).

Manuel Schmitt

ACK

Matthias

Manitu hat hier - erfolgreich - Schadensbegrenzung betrieben.

Rechtlich handelt es sich ja i.d.R. um einen "Mietvertrag", den ein Webhoster dem Kunden anbietet.
Vertragliche Pflichten sind auch die Instandhaltung der Mietsache.

Wenn Ihr im Urlaub seid und dem Mieter unter euch tropft das Wasser eurer Waschmaschine ins Wohnzimmer ist es SELBSTVERSTÄNDLICH,dass eure Tür geöffnet und das Wasser abgedreht wird und man nicht erst euch versucht, zu verständigen, damit ihr aus dem Urlaub (irgenwie) zurückkommt, um den Wasserhahn Stunden / Tage später abzudrehen.

Dass Ihr die Kosten für den Schlüsseldienst tragt, versteht sich von selbst.



EInizig ärgerlich ist in diesem Fall die Berechnung der 30 €, die wohl erst zum Unmut beim Kunden geführt hat und nun die Fronten (beiderseits) verhärtet.

Ich habe mir jetzt keine Mühe gemacht, in die AGB oder Leistungsbeschrebung zu schauen, aber gibts keine Sperr-Pauschale? Dann in Zukunft aus solchen Erlebnissen einfach die Lehre ziehen, Kunden sperren und für Sperrung und Entsperrung bei mißbräuchlicher Nutzung einfach je 15 Euro verlangen.


Eine solche Regelung habe ich bei manchen Providern schon gefunden.


Auch, wenn es Ihren Stolz vielleicht verletzt: Raffen Sie sich doch auf, den Kunden mal anzurufen.
10 Supportmails sind schön und gut, 1und1 hätte nach dem 3. Mal aufgegeben, da einfach alle Standardmailvorlagen bereits verwendet worden wären, aber ein Telefonat kann Ihnen auch ein Gefühl dafür geben, ob sich ein Nachgeben in diesem Fall lohnt (30 Euro in den Ar... schieben, dafür einen Kunden behalten, mit dem man vlt. doch noch arbeiten möchte) oder ob man dem Kunden nur mitteilt,zu wann er kündigen kann.


Ich hoffe, ich konnte ein paar Tipps geben!

Gruß
Matthias

Manuel Schmitt

Das Anrufen hätten wir auch gerne gemacht, aber nachdem der Kunde nach 1 Minute schon so rumgezickt und uns beschimpft hat, hat hier ehrlich gesagt keiner mehr Lust, einen Anruf zu tätigen.

Dann lieber in einer E-Mail sachlich und förmlich bleiben.

Observer

Mittlerweile ist das Thema auch in den Kommentaren im Lawblog aufgetaucht: http://www.lawblog.de/index.php/archives/2005/09/14/sparfuchse/

Schön wäre es, wenn wir dennoch zur Tagesordnung übergehen könnten. Das Thema ist ausgelutscht und nicht wert, weiter beackert zu werden.

Der echte Observer

Oh, drauf hinweisen dass es anderswo weitergeht und hier Ruhe wünschen?

Observer

Nur weil Du in meinem Blog nicht weiter rumtrollen darfst, heißt das noch lange nicht, dass Du mit meinem Namen hier weitermachen darfst, Du Pisser!

Observer

Und noch was: Wenn ich Dich nochmal auf meinem Block erwische, dann aber...
Du Pisser!

max power

So ein Schwachsinn... Wenn ein Kunde auf einem meiner Server ein Sicherheitsloch installiert, stopfe ich es umgehend und warte nicht, bis der Kunde seinen Fehler einsieht. Schliesslich beeintraechtigt man sonst andere Kunden.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen