Betroffen sind offensichtlich Router mit schwachen Administrationspasswörtern, bei denen teilweise das Administrationsfrontend auf der WAN-Seite zugänglich war. Offenbar fand keine Modifikation des persistenten Speichers statt, so dass ein harter Reset genügt, um dem Spuk ein Ende zu bereiten — das Botnet soll abgeschaltet sein und keine weiteren Router identifizieren. Mit Routern wie der FRITZ!Box hätten die Botnet-Programmierer die Möglichkeit gehabt, durch ein paar Zeilen in der /var/flash/debug.cfg die Änderungen zu speichern.

Angesichts der weiter steigenden Fähigkeiten moderner DSL-Router, die als Datenablage im Heimnetz dienen und mittlerweile moderate Rechenleistung bereitstellen, entsteht ein interessantes Bedrohungsszenario, bei dem gehackte Boxen den Datenverkehr belauschen, Mail- oder Login-Passwörter für Shoppingportale über unverschlüsselte Verbindungen abhören oder Spam verschicken — einzelne Spam-Mails, Listen mit Mailadressen und einen SMTP-Client für den Versand, der auch mit Queueing auf Greylisting reagiert, lassen sich in wenigen hundert kB unterbringen.

Seltzer behauptet, dass der Hauptgrund dafür, dass es keine Botnets für Linux-Desktops gibt, darin liegt, dass der durchschnittliche Nutzer erfahrener als sein Windows-Kollege ist. Dem kann ich mich weitgehend anschließen. Nicht ganz d’accord bin ich mit der Behauptung, dass es sich um das erste Linux-Botnet handelt: Viele schlecht gewartete und anschließend “aufgemachte” Linux-Rootserver, die zum Spam-Versand oder für Wörterbuch-Passwort-Attacken missbraucht werden, weisen Botnet-Charakter auf — auch wenn es sich meist nur um Dutzende bis wenige Hundert beteiligte Rechner handeln dürfte und nicht um eine sechsstellige Zahl wie im vorliegenden Fall.

Fast schon ironisch mutet die Frage an, ob Psion mit dem Netbook zu spät oder zu früh kam. Sicher zu spät für den bereits mit Ende der New Economy abflauenden Java-Client-Hype, zu früh für das erst 2005 beginnende Web 2.0, AJAX und Rich Internet Applications. Psion stellte das Netbook noch eine Weile lang als Netbook Pro mit Windows CE her und widmete sich dann ganz der Herstellung von Mobilgeräten zur Inventurerfassung. Die Lücke schlossen PDAs mit Linux oder Windows CE und Geräte mit Tastatur wurden einige Jahre lang Mangelware. Wer noch von den guten alten Zeiten träumen möchte, wird wie so oft bei Pulster fündig…

Für mich begann die Psion-Ära im Sommer 2000 mit (m)einem Revo und endete Ende 2005 mit kaputten Akkus und der Anschaffung eines damals unheimlich hippen Nokia 770, welches mit Maemo unter Linux lief und dank schnell zugekaufter Bluetooth-Tastatur bald den Psion ersetzen konnte. Ironischerweise wurde Nokias Linux-Umgebung Maemo zunächst zeitweise auf Psions Netbook getestet. Kein anderes Gerät ähnelte derart der Zielplattform mit ARM-Prozessor und Touchscreen…

Weil ich um Psion wußte, benutzte ich anfänglich den Term “Billig-Subnotebook” oder “Billigst-Subnotebook” und wechselte erst zu “Netbook” als diese Bezeichnung generisch war. Nun mahnt Psion diejenigen ab, die den Term Netbook für die mit sieben bis zehn Zoll großen Billigst-Klapprechner verwenden. Die Abmahnung kommt reichlich spät, Netbook ist seit Februar zurm Gattungsbegriff geworden und Psion gibt all jenen, die “Netbooks” kommerziell verwerten — also entweder Billigst-Klapprechner verkaufen oder Google Adsense schalten — drei Monate Zeit, sich einen neuen Term zu überlegen. Das klingt nicht nach Abmahnung zur Abzocke, sondern nach wohlbedachter Markenpflege und möglicherweise einem Comeback: Plant Psion das Netbook wiederzubeleben? Werden wir bald einen Mini-Laptop mit Psions genialem Klappmechanismus und Atom-Prozessor erleben? Oder einen ARM-basierten Langläufer, der mit Maemo oder einem Derivat daherkommt?

Sehr geehrter Jörn Petring,

aktuell findet sich unter ftd.de ein Artikel von Ihnen, der den Eindruck erweckt, die Verwendung von Opensource-Software in eigenen Softwareprodukten stelle ein unkalkulierbares Risiko dar. Dieser Eindruck ist falsch: Das Risiko ist nicht größer als bei der Verwendung kommerzieller Komponenten, oft lassen sich Entwicklungskosten minimieren und die “doppelte Erfindung des Rades” vermeiden. Damit die positiven Kosteneffekte zum Tragen kommen, ist aber wie bei jeder Entwicklung — sei es nun Software, Hardware, ein Auto, ein Computerchip oder ein Toaster — eine Planung des Entwicklungsprozesses notwendig. Ich möchte daher auf einige Punkte Ihres Artikels eingehen, die einer Präzisierung bedürfen oder sich aus meiner Sicht einfach als falsch darstellen.

Sie schreiben: Wer kostenlose Software für kommerzielle Zwecke verwendet, bekommmt es mit Harald Welte zu tun: Der freie Programmierer verklagt alle Unternehmen, die den Open-Source-Kodex verletzen. Das Prozessrisiko reißt eine große Lücke in die Bilanzen der Unternehmen.

Bereits in der Einleitung haben sich eine Reihe von Fehlern eingeschlichen. Harald Welte verfolgt lediglich Verletzungen seiner Urheberrechte am Linux-Kernel, der unter der relativ restriktiven Lizenz GPL steht. Bei dieser handelt sich keineswegs um einen Kodex (im Sinne einer freiwilligen Selbstverpflichtung), sondern um einen knallharten Vertrag über die Wiedervervendung von Softwarequellcodes. Die Gattung Open Source Software umfasst jedoch noch andere, weniger restriktive Lizenzen, auf die ich später noch genauer eingehen möchte. Die GPL garantiert, dass Modifikationen an einem Programm wieder im Quellcode vertrieben werden. Viele Unternehmen wählen die GPL im Falle einer “strategischen” Freigabe von Software, weil sie in diesem Fall von den Weiterentwicklungen der Konkurrenz etwas zurückbekommen.

Der Punkt des Prozessrisikos in zumindest in Deutschland relativ gut kalkulierbar: Gerichte bemessen dort Schadenersatzforderungen und Streitwerte nach den Kosten, die eine Eigenentwicklung oder ein Zukauf gekostet hätte.

Sie schreiben: “Viele Unternehmen haben Nachholbedarf. Oft wissen Manager nicht einmal, welche Bestandteile von ihren Programmierern in die eigene Software integriert wurden”, sagt Schäfer. Eine Nachlässigkeit mit fatalen Folgen. Ist der Open-Source-Anteil in der neuen Software zu groß, Experten sprechen dann von einem “abgeleiteten Werk”, greift die GPL-Lizenz für die gesamte neue Software, was bedeutet, dass der komplette Quelltext frei zugänglich gemacht werden muss. “Damit wäre die Software nicht mehr kommerziell zu vertreiben”, sagt Schäfer. Für die Entwickler ein großes Unglück

An dieser Stelle wird für den Leser den Eindruck erweckt, ein großes, komplexes Softwareprodukt müsse komplett im Quellcode offengelegt werden. Diese Aussage muss differenziert werden: Die auf Open-Source-Programmen basierende Betriebssoftware vieler Geräte wie DSL-Router (auf die sich Welte besonders konzentriert) oder Linux-basierter DVD-Player besteht aus einer Vielzahl von Komponenten, die oft aus unterschiedlichsten Quellen stammen und unterschiedlichsten Lizenzen unterliegen. Vermischt man diese nicht, beispielsweise indem offene und geschlossene Komponenten in einer einzigen Binärdatei zusammengefasst werden, sind die freizugebenden Komponenten schnell identifiziert. Im erwähnten Beispiel von DSL-Routern handelt es sich meist um den Linux-Kernel und ein Universal-Systemwerkzeug namens BusyBox, die in der Regel nur marginal abgeändert werden. Die Freigabe dieser Komponenten steht einem kommerziellen Vertrieb eines gesamten Produktes meist nicht im Weg. Denn mit einem nackten Kernel und einigen Kommandozeilenwerkzeugen kann die Konkurrenz oft wenig anfangen (siehe bspw. Motorola).

Sie schreiben: Weltes Warnschuss hat schon gewirkt: Erste Unternehmen zittern vor der Vernichtung ihrer Bilanzwerte, andere wittern ein großes Geschäft. Die Firma Black Duck hat sich darauf spezialisiert, Software im Auftrag von Unternehmen zu scannen. “Unsere Kunden wollen sichergehen, dass ihre Software in Ordnung ist. Regelmäßig finden wir dann Sachen, die die Leute richtig blass werden lassen”, sagt Stefan Just von Black Duck. Konzerne wie SAP und Siemens schienen ebenfalls verunsichert und haben sich laut Just bereits von Black Duck beraten lassen.

Die Erwähnung von Black Duck bringt uns zum eigentlichen Punkt meiner Kritik, denn Sie erwähnen nicht, dass Black Duck auf Wunsch nach jeder Art von unrechtmäßig oder zweifelhaft in die eigenen Quellcodes gerutschten Code-Fragmenten scannt. Black Duck beschränkt sich keinesfalls auf die Verletzungen freier Lizenzen.

Ihr Artikel sollte eigentlich vor den generellen Risiken einer schludrigen Verwaltung und Versionierung von Quellcodes warnen, schließlich kommt es auch häufig vor, dass Entwickler eigene Code-Bibliotheken pflegen und oft gar nicht wissen, dass die Rechte daran ihr vorheriger Arbeitgeber hält. Ebenfalls häufig kommt es vor, dass einst lizenzierte Bibliotheken weiterverwendet werden, obwohl die Lizenzverträge ausgelaufen sind. Black Duck kann — in wessen Auftrag auch immer — nach derartigem Code suchen. Verletzungen freier Lizenzen sind daneben leichter während der Entwicklungsphase festzustellen, einen echten Super-GAU bedeutet es dagegen, wenn ein Konkurrent Wind von einer Verletzung seiner Rechte bekommt und bis zur Veröffentlichung des Produktes des “Verletzters” wartet, bis er ihn mit Klagen überzieht.

Wird dagegen eine Verletzung von Lizenzen wie der GPL oder der LGPL festgestellt, ist eine Heilung in vielen Fällen mit vertretbarem Aufwand möglich. Bei Verletzungen der LGPL ist es meist so einfach, darauf zu achten, dass die betreffende Komponente erst zur Laufzeit geladen wird, bei Verletzungen der GPL kann in vielen Fällen der betreffende Code in eine eigene Binärdatei ausgelagert werden, die dann einfach über das System aufgerufen wird. Das ist der Fall in der von mir festgestellten mutmaßlichen Verletzung der GPL durch die Integration einer Funktionen der BusyBox in die Firmware des LaCie-Medienplayers, wo die Funktion zum Einbinden der Festplatte wohl einfach kopiert wurde. Offenbar wollte sich ein Programmierer ein paar Tage Arbeit sparen, die hierfür verwendete Funktion als separate Binärdatei auszulagern¹.

Nun ist es nicht Aufgabe derjenigen, deren Rechte verletzt wurden, für eine Heilung des Rechtsbruchs zu sorgen. Es ist also legitim, wenn Welte das naheliegende unternimmt und das Unternehmen vor die Wahl stellt, die GPL zu respektieren oder den Vertrieb eines Produktes zu unterlassen. Für Consulting, wie ein der GPL konfirmer Aufbau eines Produktes aussehen könnte, ist es zu diesem Zeitpunkt zu spät.

Der von vielen Lesern sicher aus Ihrem Artikel herausgelesene Ratschlag, freie Software zu meiden ist daher weltftremd. Freie Software ist Fakt und viele Programmierer üben während des Studiums mit freien Bibliotheken oder durch die Mitarbeit an großen Open-Source-Projekten. Einerseits Zeitdruck auf Entwickler auszuüben und andererseits die Verwendung von freien Komponenten zu verbieten (oder das Vorhandensein freier Software zu leugnen), schließt sich gegenseitig aus. Stattdessen ist es von grundlegender Bedeutung, den Überblick über die eigene Softwareetwicklung zu behalten und Versionskontrollsysteme auch dazu zu verwenden, genutzte Komponenten (freie wie unfreie) zu inventarisieren. Nach Möglichkeit ist bereits zu Beginn einer Entwicklung herauszufinden, welche freien Komponenten Entwickler gerne integrieren würden². Im nächsten Schritt ist dann zu identifizieren, welche Komponenten als Geschäftsgeheimnis betrachtet werden und daher keine GPL-Software enthalten dürfen und bei welchen Programmen einer Freigabe nichts im Weg steht³.

Grundsätzlich gilt, dass bei vielen Entwicklern wenig Kenntnisse über die Unterschiede der Lizenzen und die Integration in große kommerzielle Projekte herrscht, andererseits kennen viele auf Lizenzfragen spezialisierte Anwälte nicht die technischen Unterschiede zwischen der dynamischen Einbindung einer Bibliothek und der Kommunikation einer Anwendung mit einer anderen über einen Socket. Es ist daher noch viel Aufklärungsarbeit notwendig, bis die — oft nur vordergründig gegensätzlichen — Interessen von Open-Source-Community und kommerziellen Entwicklern unter einen Hut zu bekommen sind. Dass Open-Source längst Realität ist, haben Sie vollkommen richtig festgestellt, diese ist allerdings in den seltensten Fällen umkehrbar. Unternehmen sollten daher dazu animiert werden, Open Source richtig einzusetzen und Chancen und Risiken möglichst früh zu betrachten, anstatt Angst vor klagenden Programmierern zu entwickeln.

Mit freundlichen Grüßen,
Mattias Schlenker

Nachtrag, 15. August 2008:

• Auch Harald Welte äußert sich kritisch zum Artikel der FTD und stellt seinen Standpunkt klar
• Erwähnung des FTD-Artikels bei Netzpolitik.org

Nachtrag, 21. August 2008:

• Laut Golem hat das SFLC einen Leitfaden “A practical guide to GPL compliance” veröffentlicht, der sich vor allem an Unternehmen richtet.

¹Für die technisch versierten Leser des Blogs: Es handelt sich um das mount-Applet der BusyBox, das separat kompiliert werden kann und sich dann weitgehend wie das mount von GNU/Linux verhält. Der Grund für die GPL-Verletzung ist also in Faulheit, Unwissenheit, Zeitdruck oder einer Kombination aus allen dreien zu suchen.

²Das Testen, ob eine Open-Source-Komponente für den eigenen Einsatzbereich taugt, erfordert übrigens keine aufwendige Freigabe: Erst wenn Binärdateien das Haus verlassen, ist der Quellcode beizulegen.

³Neben der GPL existieren weitere Lizenzen, die oft andere Handhabung des Quellcodes erfordern, LGPL-Code darf beispielsweise nur dynamisch dazugelinkt werden, erfordert aber nur die Freigabe der (modifizierten LGPL-Komponente), die BSD- oder MIT-Lizenzen erfordern dagegen keine Freigabe des Codes, aber die Nennung der Urheber in “Hilfe-Fenstern” oder im Handbuch.

-rw-r--r--  1 mattias mattias     553 2008-04-09 13:57 Changes in firmware version 3_10.txt
-rw-r--r--  1 mattias mattias 4194304 2008-04-03 18:06 lacinema_premier_fw.bin
-rw-r--r--  1 mattias mattias 4194304 2008-02-19 15:00 ntd00fw.bin
-rw-r--r--  1 mattias mattias    7065 2008-04-09 12:02 Update_Procedure.txt

Interessant sind natürlich besonders die beiden Bin-Dateien. Der Befehl “strings” verschafft schonmal einen Überblick, was drin stecken könnte, da recht viel ausgegeben wird, ist es sinnvoll, nach Begriffen, wie Kernel oder Linux zu greppen. Und bingo:

...
linux.c
/work/iamm35_lacie/uClinux-2.4/include/linux/dcache.h
/work/iamm35_lacie/uClinux-2.4/include/linux/sched.h
/work/iamm35_lacie/uClinux-2.4/include/linux/highmem.h
/work/iamm35_lacie/uClinux-2.4/include/linux/dcache.h
/work/iamm35_lacie/uClinux-2.4/include/linux/dcache.h
/work/iamm35_lacie/uClinux-2.4/include/linux/dcache.h
linux.bin.gz
linux.bin

Das sieht bereits nach den Resten eines Dateisystems (linux.bin.gz und linux.bin) und nach den in Kernelmodulen hinterlassenen Pfade der Include-Dateien aus. Schöner wäre es aber Zugriff auf ein Dateisystem zu erhalten. Doch der Befehl “file” sorgt zunächst für Ernüchterung:

lacinema_premier_fw.bin: data

Image-Offset aufgespürt

Doch wenn Strings so sauber drüberlaufen, kann es kein verschlüsseltes Image sein. Das eigentliche Dateisystem muss also mit einem gewissen Offset beginnen. Eine kurze Google-Recherche liefert, dass das häufig verwendete romfs mit dem Magic -rom1fs- beginnt. Die Zeichenkette wandeln wir zunächst nach Hex:

echo -n '-rom1fs-' | hexdump

0000000 722d 6d6f 6631 2d73 000a

Nun können wir einen Hexdump des Images machen und per Grep den Offset feststellen:

hexdump lacinema_premier_fw.bin | grep '722d 6d6f 6631 2d73'

Bingo!

00009c0 722d 6d6f 6631 2d73 4030 e92d 4000 e1a0
0040000 722d 6d6f 6631 2d73 3700 e0ec 5815 4b36

Mit Offset 0×40000 beginnt also ein RomFS-Image. Das sollte sich auf einem halbwegs aktuellen Desktop-Linux nun mounten lassen:

modprobe romfs
mount -t romfs -o loop,offset=0x40000 lacinema_premier_fw.bin /tmp/firmware

Und was steckt drin?

Nachdem sich das Image so problemlos mounten lies, ist es natürlich schön zu wissen, was drin steckt:

drwxr-xr-x  1 root root   32 1970-01-01 01:00 .
drwxrwxrwt 16 root root  820 2008-06-19 19:26 ..
drwxr-xr-x  1 root root   32 1970-01-01 01:00 bin
drwxr-xr-x  1 root root   32 1970-01-01 01:00 cdrom
drwxr-xr-x  1 root root   32 1970-01-01 01:00 dev
drwxr-xr-x  1 root root   32 1970-01-01 01:00 etc
drwxr-xr-x  1 root root   32 1970-01-01 01:00 hd1
drwxr-xr-x  1 root root   32 1970-01-01 01:00 hd2
drwxr-xr-x  1 root root   32 1970-01-01 01:00 img
-rwxr-xr-x  1 root root 6,5K 1970-01-01 01:00 irdrv.o
-rwxr-xr-x  1 root root  30K 1970-01-01 01:00 irdrvtest.bin
-rwxr-xr-x  1 root root 341K 1970-01-01 01:00 khwl.o
-rwxr-xr-x  1 root root 342K 1970-01-01 01:00 linux.bin.gz
-rwxr-xr-x  1 root root 507K 1970-01-01 01:00 loading.yuv
-rwxr-xr-x  1 root root  55K 1970-01-01 01:00 minimod
drwxr-xr-x  1 root root   32 1970-01-01 01:00 nova
-rwxr-xr-x  1 root root  11K 1970-01-01 01:00 piodrv.o

Das sieht doch schon ziemlich nach einem recht gewöhnlichen — wenn auch sehr kompakten — Linux-Dateisystem aus. Den Beweis liefert schließlich erneut “strings”, dieses Mal auf dem entpackten Kernel linux.bin.gz:

Linux version 2.4.17-uc0 (root@localhost.localdomain) (gcc version 2.95.3 20010315 (release)) #44 2008. 04. 02.

Der Kernel alleine reicht nicht für ein Linux-System. Wenigstens eine Anwendung benötigt man, die als “init” — als Prozess 1 — gestartet wird. Üblich sind Programmnamen wie init oder linuxrc, letztlich kann der Name des zuerst gestarteten Programmes aber auch vom Bootloader übergeben werden. Dennoch, ein /bin/init ist präsent, nicht einmal als Softlink, sondern als recht fette Datei mit 1,7MB. Hier wird offenbar die Hauptanwendung — der Medienplayer — beim Boot gestartet, stürzt diese ab, wird einfach rebootet. Strings auf /bin/init scheint diese Vermutung zu bestätigen, liefert der Befehl doch allerlei Hinweise auf Foto- und Videoplayer.

Doch gegen Ende fallen einige verdächtige Zeilen auf:

Connection timed out
Connection refused
Host is down
No route to host
Operation already in progress
Operation now in progress
Stale NFS file handle
Structure needs cleaning
Not a XENIX named type file
No XENIX semaphores available
Is a named type file
Remote I/O error
Disk quota exceeded

Ich hatte den Verdacht, diese schon gesehen zu haben, bastle ich doch viel mit der BusyBox herum. In einer BusyBox 1.9.2 fand ich:

Connection timed out
Connection refused
Host is down
No route to host
Operation already in progress
Operation now in progress
Stale NFS file handle
Structure needs cleaning
Not a XENIX named type file
No XENIX semaphores available
Is a named type file
Remote I/O error
Disk quota exceeded

Diese Zeilen entsprechen im Wortlaut und Reihenfolge der BusyBox. Natürlich könnte dies Zufall sein. Gar nicht abwegig wäre es, wenn jemand — um die GPL zu umgehen — einfach einen Programmierer in Indien oder China beauftragt, den gesamten Code der Mountfunktionen nachzuprogrammieren, gleiche Übergabeparameter, gleiche Rückgabewerte und gleiche Strings inclusive. Allerdings würde hier wahrscheinlich jeder vernünftige Mensch darauf bestehen, dass nur relevante Fehler Eingang in den Code finden (haben XENIX-bezogene Funktionen heute noch Bestand?) und es wäre fraglich, ob die Strings des sauber neu implementierten Codes im Objekt wieder die gleiche Anordnung hätten.

Conclusio

Auch wenn der 100%ige Beweis noch aussteht wiegen die Indizien bereits schwer: Es deutet viel auf einen Kernel und wenigstens eine Anwendung unter GPL, die nicht als Sourcecode erhältlich sind. Vielleicht kann sich einer der “Objektcode-Kenner” da draußen die Binaries einmal genauer vornehmen und meine Vermutungen bestätigen oder widerlegen. Eine Freigabe unter GPL dürfte LaCie oder deren Zulieferer nicht leicht fallen, schließlich sind die Chancen groß, dass “das fette Binary” auch Code von Dritten enthält. Doch gerade im Fall der Busybox sollte die Vorgehensweise einfach sein: Einfach die BusyBox als externes Binary ausführen und dessen Code freigeben. Damit sind alle zufrieden: GPL-Apologeten und kommerzielle Nutzer.

Natürlich ist fraglich, ob LaCie die alleinige Schuld trifft: Es deutet viel darauf hin, dass neben der Standardhardware von Sigma Electronics eben auch Standardsoftware modifiziert und eingesetzt wurde. Während Sigma die Referenz-Implementierung vorbildlich zum Download anbietet, schaut es mit den modifizierten Versionen düster aus.

Und das Tool der Woche?

Die Moral von der Geschicht: Mit dem richtigen Offset mountet man Images oder auch nicht.

Nachtrag, 20. Oktober 2008: Golem berichtet über eine umfassende Anleitung zum Aufspüren von GPL-Verletzungen.

Die Faktenlage ist dürftig: Angriffe mit Ursprung in China, automatisches Abklopfen auf Sicherheitslücken und nicht gerade unauffälliges “Öffnen” von Rechnern — für mich sieht das eher nach einer der üblichen automatischen Suche nach offenen Proxies, offenen Relays und unzureichend gesicherten PHP-Scripten aus, nur nicht nach Profis. Chinesische Hacker von Amts wegen würden mit Sicherheit keine Rechner aus eigenen Netzbereichen als Basis für Schwachstellenanalysen verwenden, sondern auch geknackte oder gemietete Server beispielsweise in Russland. Auch die Tatsache, dass wohl tatsächlich einige Rechner der Volksbefreiungsarmee an den Angriffen beteiligt waren, sagt wenig. Vermutlich hat die chinesische Armee genauso unterbezahlte Administratoren wie viele andere Behörden, die entweder keine Lust am Abdichten ihrer Systeme haben, oder sich mit automatischen Scans nach offenen Relays für einen gut zahlenden Spammer etwas dazu verdienen wollen.

Nicht so im Falle der Serverschleuder. Thomas Hölscher hat seinen Unmut über die seiner Ansicht nach nicht zufriedenstellende Vertragserfüllung durch Serverschleuder im Web geäußert und fand prompt Drohungen eines der mutmaßlichen Geschäftsführer in seinem Blog wieder.

Selbst wenn man Thomas Hölscher in dem derzeit nicht erreichbaren Blog-Beitrag einen weit schnoddrigeren Ton als im Rest seines Weblogs unterstellt, fällt es schwer zu glauben, dass er die Grenze zur Schmähkritik überschritten hat.

Auffallend ist dagegen das unprofessionelle Auftreten des (vermeintlichen?) Geschäftsführers von Serverschleuder, Michael Heizmann. Dieser droht offen im Blog und per Mail mit Abmahnung und Strafanzeige, wenn der Blog-Beitrag nicht bis zum 28. Januar verschwunden ist. Offenbar soll der Streitwert bei dieser Aktion bei 500.000 Euro liegen.

Selbst wenn es der Firma Serverschleuder gelingen sollte, Thomas Hölscher zur Abgabe einer Unterlassenserklärung zu bewegen oder eine einstweilige Verfügung zu erwirken, ist der angerichtete Schaden für Serverschleuder mittlerweile enorm: die gesamte Bloggosphäre (unter anderem das Lawblog) zerreisst sich das Maul über den unprofessionellen Umgang der Serverschleuder mit ihren (Ex-) Kunden und potentielle Neukunden schauen so aufgescheucht zurecht bei Webhostlist nach der Kundenbeurteilung von Serverschleuder.

Wer günstiges Hosting sucht sollte selbst die Kalkulationen der Provider hinterfragen. Viele der extrem günstigen Angebote funktionieren nur durch Skaleneffekte oder sind sogar bewußt unter den eigenen Kosten kalkuliert, denn ein einmal gewonnener Kunde, der mehr möchte, wechselt lieber in ein teureres Angebot seines Providers als mittels KK-Antrag in ein neues digitales Heim umzuziehen. Provider, die fast ausschließlich extrem billige Hostingpakete anbieten, sollte man sehr kritisch betrachten.

Update:

Michael Heizmann scheint die Bloggosphäre aufmerksam zu beobachten. Er rief mich gegen 14:30 an und bat mich, seine Version der Geschichte anzuhören, was ich auch gerne tat. Offenbar hat man bei Serverschleuder die Notbremse in Sachen schlechter PR gezogen und entschuldigt sich nun für böse Emails und drohende Weblog-Einträge, so schreibt mir Heizmann (Hervorhebungen von mir):

Sehr geehrter Herr Schlenker,

Erst einmal danke für das mit Ihnen geführte Telefonat von eben! Leider ist es nicht gerade mein Stärke große Gegendarstellung zu schreiben und ich hoffe Sie verzeihen mir.

Ich möchte mich bei Herrn Hölscher für die etwas verunglückten Mails etc von mir und meines Kollegen entschuldigen. Es war nicht meine Absicht, diese Diskussion so hoch zu puschen! Ich weiß, dass ich auch Fehler gemacht habe, die man so nicht einfach Rückgängig machen kann aber ich würde Herrn Hölscher gerne um die Entfernung meines Textes auf seiner HP bitten.

Was die Androhung von rechtlichen Schritten angeht so ist dies eher eine Kurzschlussreaktion gewesen die nicht so gemeint war. Leider reagiere ich in manchen Situationen nicht gerade zu meinem Vorteil aber ich hoffe wir können diese Streitigkeiten bei Seite legen.

Das ist immerhin ein Schritt in die richtige Richtung, der allerdings — im Interesse beider Parteien — hätte viel früher erfolgen sollen. Denn selbst wenn Thomas Hölscher der Bitte um ein Edit des fraglichen Beitrages nachkommt, hat der fragliche Satz mit der Verbkreation “dolden” schon zu weite Kreise gezogen und ist praktisch nicht mehr zurückzuholen.

Bleibt zu hoffen, dass die Serverschleuder aus diesem PR-Debakel gelernt hat und fortan unzufriedene (Ex-) Kunden gelassener behandelt. Und selbst wenn mal ein Blog-Beitrag die Grenze zwischen Schnoddrigkeit und Schmähung überschreiten sollte, hilft ein souveräner Umgang damit, Professionalität zu beweisen.

2. Update (26. Januar 17:10):

Laut Thomas Hölscher schließt sich auch der zweite Geschäftsführer der Serverschleuder der Entschuldigung seines Kollegen an. Na also: geht doch! Dennoch wäre die in dieses Spektakel verschwendete Zeit sicher besser zur Betreuung der “aktiven” Kunden aufgewendet worden. Wie immer wenn es um “Recht und Internet” geht sind das Lawblog und das Webhostingblog mit von der Partie.