G.W. Pachlatko

Es gibt Situationen, in denen kann man nur mehr „den Stecker ziehen“, aktiv Schadensbegrenzung betreiben. Jegliche Versuche, sich „irgendwie“ aus der Affäre zu ziehen oder „auf Zeit zu spielen“ müssen scheitern — ganz besonders dann, wenn diese halbherzig oder ohne allzu großem Sachverstand durchgeführt werden. Der folgende Aufsatz beschreibt nicht nur die Situation, wie sie sich der zufälligen Beobachterin dargestellt hat, sondern versucht auch plausibel darzulegen, was die Ursachen und mögliche Lösungsansätze sein könnten.

Sie haben Post!

Früher war Post vom Finanzamt (oder irgendeinem Amt) zu bekommen eine große Sache. Aber ehrlich gesagt erinnere ich mich selbst kaum noch daran. Ich bin Nutzer des „digitalen Amtes“ seit dem Tage, an dem dieses „gelauncht“ wurde. Man könnte gar sagen, ich hatte der Möglichkeit sehnsüchtig entgegen gefiebert.

Heute bekommt man (meistens) einen Modultext per E–mail, dass eine Nachricht im eigenen Postfach auf einen warte. Man verschafft sich auf eine von drei Arten darauf Zugriff und liest in aller Ruhe und ganz bequem, was man geschrieben bekommen hat. Ich nutze in aller Regel (auch bereits seit es die Möglichkeit überhaupt gibt) dafür das System, dass man landläufig „ID–Austria“ nennt. Auch dies funktioniert normalerweise sang– und klanglos.

Kürzlich war es also wieder einmal so weit. Nicht, dass es wahnsinnig oft vorkäme, aber doch merklich häufiger als in den Tagen der analogen Kommunikation.

Beim Aufruf der Startseite fiel mir ein Vermerk auf: Man würde am folgenden Freitag („ein gesetzlicher Feiertag, der als Mariä Himmelfahrt bekannt ist“ wie Leo mich informiert — ja, ich nutze für derlei künstliche Intelligenz, weil meine natürliche Intelligenz offenbar nicht ausreicht, mir Feiertage und deren Bedeutung zu merken) Wartungsarbeiten durchführen und könne daher für eine bestimmte Zeit nicht zu Diensten sein. Schön und gut, bis dahin würde sich meine Angelegenheit längst geklärt haben.

„ID–Austria“ tat, was man von einer App dieser Art erwarten darf: Ich erhielt problemlos Zutritt zu meinem Konto. Dann allerdings begann „die Sache (gewaltig) aus dem Ruder zu laufen“. Ich wurde mit einem „HTTP 500 — Internal Server Error“ begrüßt.

Wir haben „Aua“

Das ist (für Benutzerinnen wie auch Seitenbetreiberinnen) insofern ziemlich blöd, als es keine Möglichkeit gibt, irgendwie sinnvoll darauf zu reagieren. „500“ ist ein allgemeiner Fehlercode — ein Sammelbegriff, wenn man so will — für eine Vielzahl von möglichen Fehlern. Er lässt sich wohl am treffendsten mit „unser Server hat ‚Aua‘, wir wissen aber nicht, warum“ übersetzen.

Als professsionelle Seitenbetreiberin bleibt einem eigentlich nur eine direkte Umleitung auf einen funktionierenden Spiegelserver. Für die Benutzerinnen bedeutet das „business as usual“; die ein, zwei Millisekunden Verzögerung fallen niemandem auf.

Als Amateurin schaltet man eine Seite mit allgemein verständlicher Erklärung („Wir haben’s vermasselt. Bitte kommen Sie später wieder“ oder ähnliches) und einem Link zu einem funktionierenden Teil der Site — falls vorhanden. Das ist auch nicht schön, wirkt aber nicht annähernd so hilflos wie ein von einer kryptischen Fehlermeldung begleitetes Schweigen.

Fehler können passieren

Damit es hier kein Missverständnis gibt: Fehler können passieren. Keine Website in den vermeintlich unendlichen Weiten des Internets ist davor gefeit. Eine kleine Unachtsamkeit — oder einfach nur Pech — reicht und schon ist es passiert: Server können unvermittelt schlapp machen, ein fehlendes oder falsch implementiertes Skript kann zu Unterbrechungen im vorgesehenen Ablauf führen, ein popeliger „syntax error“ (ein falscher Befehl aber auch ein Tippfehler und alles dazwischen und rundherum) dreht das gesamte System „auf links“, weil der Server mit den verfügbaren Informationen nichts mehr anzufangen weiß. All das kann geschehen und ist der Fehler nicht eindeutig zu identifizieren, wirft der Server eben diese diffuse Fehlermeldung aus.

Das ist an sich „kein Beinbruch“. Es sollte nicht vorkommen — und ganz besonders nicht auf einer Website, die den Zugang zu hunderttausenden Nutzerdaten liefert und durch eine nicht zu verachtende Summe öffentlichen Geldes finanziert wird — aber ganz vermeiden lässt es sich eben auch nicht. Der Beinbruch — um im Bild zu bleiben — ist, dass man nicht entsprechend vorgesorgt hat — und dass man tagelang nicht in der Lage war, den Fehler abzufangen beziehungsweise den Fall abzufedern. Die Steuerzahlerinnen mit der Nase darauf zu stoßen, dass man (leider offensichtlich) nicht willens oder in der Lage ist, angemessene Schritte einzuleiten, zeugt von wenig Stil.

Was ist das Problem?

Ich maße mir nicht an, auch nur eine Vermutung bezüglich des zugrunde liegenden technischen Gebrechens zu äußern. Es sind hier mehr Ursachen denkbar, als dieser Aufsatz am Ende Wörter zählen wird. Aber aus Sicht des neutralen (und tatsächlich eher zufälligen) Beobachters lassen sich schon gewisse strukturelle Schwächen erkennen. Schwächen, die angesichts der Tatsache, dass dieses System durch öffentliche Gelder getragen wird, nicht kleingeredet werden können oder sollten. Die Steuerzahlerin hat für gutes Geld das Recht erworben, dass ihre Daten pfleglich verwaltet werden. Auch wenn die Datensicherheit mutmaßlich zu keiner Zeit gefährdet war und ist, ergibt die Angelegenheit, wie sie sich darstellt ein einigermaßen schiefes Bild.

Als wäre das alles noch nicht schlimm genug, schlagen die amtsseitigen Versuche, „zu Diensten“ zu sein, eine noch tiefere Kerbe. Stichwort: Kommunikation. Weil ich eben schon „auf dem Amt“ war, versuchte ich das Bestmögliche aus meinem Besuch herauszuholen.

Ein Schwätzchen gefällig?

Ich bin von jeher ein großer Freund von sogenannten Chatbots. Wenn es nicht gilt, die Welt, wie wir sie kennen, aus den Angeln zu heben, kann ein für die jeweilige Aufgabe ausreichend geschultes Modell durchaus effizient und effektiv sein.

In gewissen Momenten kommt man allerdings kaum um einen menschlichen Chat–Partner herum. Wenn die eigene Website in Trümmern liegt, aber die Chat–Funktion noch zugänglich ist, dann darf sich die durchschnittlich vernunftbegabte Zielgruppe schon erwarten, dass auch am anderen Ende eine durchschnittlich vernunftbegabte, selbstatmende Person antwortet — und falls diese gerade Kaffee– oder Pinkelpause hält, der zwischenzeitlich einspringende Chatbot wenigstens so weit geschult ist, dass die Gehirnzellen besagter Zielgruppe sich nicht in Notwehr kollektiv selbst entleiben.

(Das folgende Protokoll ist aus dem Gedächtnis wiedergegeben, entspricht dem tatsächlichen Austausch aber nahezu wörtlich. Kursiv dargestellt ist der Text des Chatbots.)

„Hallo. Wie kann ich Ihnen helfen?“

„Ich habe eine Nachricht erhalten, in meinem Postfach liege eine neue Nachricht. Leider kann ich aufgrund eines Server–Fehlers nicht auf dieses zugreifen. Wie kann ich auf anderem Wege an diese Nachricht gelangen?“

(Es vergingen einige Sekunden. Ich durfte also davon ausgehen, dass mein Gegenüber die Nachricht angemessen verarbeitete und nach einer entsprechenden Antwort suchte.)

„Ihre Frage ist sehr lang. Könnten Sie diese einfacher formulieren?“

(Hmpf. Wie sage ich es meinem Kinde ..?)

„Nachricht im Postfach. Server–Fehler? Nachricht?“

„Leider habe ich Ihre Frage nicht verstanden.“

„Ich bin nicht überrascht.“

„Leider habe ich Ihre Frage nicht verstanden.“

„Ich will die Nachricht in meinem Postfach abrufen!“

„Gehen Sie auf unsere Startseite, loggen Sie sich mit ihren Zugangsdaten oder ihrer E–Mail oder der ID–Austria App ein …“

„Lustig. Ernsthaft? Schön, dass Sie auf die Sicherheit meiner Daten achten, aber vielleicht gehen Ihre Bemühungen doch ein wenig zu weit?“

„Leider habe ich Ihre Frage nicht verstanden.“

(An diesem Punkt sollte man seinem Modell wenigstens Sarkasmus beigebracht haben!)

„Wie lautet meine Nachricht?“

(Ein paar Millisekunden später:)

„Ihre Ansprüche auf den Energiebonus können Sie noch bis 31. Mai 2023 geltend machen …“

„Hat sich der Briefträger verlaufen? Dafür ist es jetzt wohl ein wenig zu spät …“

„Leider habe ich Ihre Frage nicht verstanden.“

„Vielleicht sollten wir wieder auf traditionelle Kommunikationswege zurückgreifen?“

„Leider habe ich Ihre Frage nicht verstanden.“

(Na schön. Also klare Ansagen! Jetzt muss doch bald die Pinkelpause beendet sein und diesem Clusterfuck ein Ende bereitet werden … oder?)

„Man möge mir die Nachricht per Post zusenden. Folgende Kriterien sollen gelten: Ein A4–Blatt, Schwarz auf Weiß. In einem Umschlag. Freigemacht.“

„Ihre Ansprüche auf den Energiebonus können Sie noch bis 31. Mai 2023 geltend machen …“

„Man sollte diesen Chat veröffentlichen.“

„Leider habe ich Ihre Frage nicht verstanden.“

„Passiver Widerstand ist auch keine Lösung …“

„Leider habe …“

Ich schloss das Chat–Fenster, bin aber ziemlich sicher, dass ich zum x–ten Mal erfahren hätte, dass „meine Frage nicht verstanden“ worden war.

Ernsthaft: So offen darf man seine Blößen nicht zur Schau stellen. Das ist ein Trauerspiel. Ich habe eine Woche lang darüber nachgedacht, ob ich diese Zeilen wirklich veröffentlichen soll. Aber die Website ist wenigstens eine Woche lang in diesem (oder einem ähnlichen) Zustand öffentlich zugänglich gewesen und Jede und Jeder mit einem Internetanschluss hätte sich selbst ein (sogar noch umfassenderes) Bild verschaffen können. Ich bin weder der Hüter der Staatsfinanzen noch deren IT–Sicherheit.

Was ich allerdings schon sehe, ist die Pflicht (wenn man so will), vor derartigem Umgang mit der eigenen Datensicherheit und jener seiner Schutzbefohlenen (und das sind Staatsbürgerinnen aus amtlicher Sicht) zu warnen.

Was ist das eigentliche Problem?

Von den offensichtlichen Unzulänglichkeiten abgesehen zeigt dieses Beispiel sehr deutlich auf, warum es (wenigstens in solchen Fällen) eindeutig besser ist, einfach „den Stecker zu ziehen“. So amüsant sich manche Stellen bislang vielleicht gelesen haben, sogar dieser (recht oberflächliche) Blick auf den Status quo offenbart bereits Schwachstellen, welche die Verantwortlichen solcher Projekte tunlichst nicht einer breiten Allgemeinheit zugänglich machen sollten.

Dass der Chatbot seit dem 31. Mai 2023 keine Aktualisierung mehr erhalten hat, ist eine Sache. Das ist zwar eine Nachlässigkeit — und natürlich auch eine Verschwendung von öffentlichen Geldern — aber sicherheitstechnisch eher unbedenklich. Mit diesem Modell kann man ohnehin „keinen Staat machen“. Denn entweder zeigt der obige Dialog, dass man amtsseitig keine Ahnung hat, wie man einen Chatbot sinnvoll einsetzt oder sich nicht darum kümmert, ob das Modell für die Zielgruppe irgendeinen Nutzen hat. Unter dem Strich ist diese Farce so oder so ärgerlich.

Erschreckender finde ich persönlich wie relativ unbedarft hier einer unbekannten Allgemeinheit (und damit auch Parteien, die Böses im Schilde führen könnten) die eigenen Schwächen offenbart werden. Denn leider halte ich es nicht für gänzlich ausgeschlossen, dass man sich der Schwachstellen nicht vollständig bewusst ist.

Einen Tag später versuchte ich noch einmal auf mein Konto zuzugreifen. Ich war davon ausgegangen, dass in der Zwischenzeit eine funktionierende Verbindung zu einem Spiegelserver hergestellt worden war. Doch davon war nur zu träumen. Diesmal war es nicht einmal möglich, über eine der drei Optionen auf das Konto zuzugreifen. Allerdings hatte man die Zugänge nicht einfach deaktiviert, wodurch keine Rückschlüsse auf die Ursache möglich gewesen wären. Die Zugänge selbst waren aktiv, aber die Zugangsdaten wurden nicht akzeptiert. Dies scheint anzudeuten, dass (diesmal) nicht die Web–Server, sondern die Datenbank–Server das Problem darstellten.

Mit dem Plural bringe ich hier wenig subtil meine Hoffnung zum Ausdruck, dass eines unserer wichtigsten Ministerien zu jeder Zeit mehr als einen Server jeder Art betreibt. Nur stellt sich dann zwingend die Frage, wie es zu derartigen Situation überhaupt kommen kann. Kein halbwegs behirnter Systemadministrator würde Wartungsarbeiten an Live–Servern durchführen. Das wäre, als würde man einen Menschen unter freiem Himmel mit Küchenbesteck am offenen Herzen operieren.

Welche Schlüsse kann man daraus ziehen?

Zuerst einmal: Man veröffentlicht keine Websites, die nicht wenigstens „rund laufen“. Das gilt besonders für dynamische Websites. Also jene, deren Daten je nach Status aus einer Datenbank gezogen werden, um entsprechende Inhalte darzustellen. Je größer die Anzahl der notwendigen Schnittstellen, umso größer das Fehlerpotenzial und die Gefahr, dass Sicherheitslücken entstehen.

Fehler sollten so rasch und gründlich wie möglich beseitigt werden. Sie stellen nicht nur ein potenzielles Sicherheitrisiko dar, sie zeigen entsprechend geschulten (und interessierten) Parteien auch, wo (weitere) Schwachstellen zu finden sein könnten. Zeigt sich ein Fehler, der einem bislang entgangen ist (dafür kann es eine Vielzahl plausibler Gründe geben), dann stellt man eine Version ohne diesen Fehler dar, bis man den Fehler beseitigt hat.

Daraus ergibt sich, dass man nie am Original (also der Live–Version) arbeitet. Muss man Änderungen vornehmen, dann arbeitet man an einer Kopie und veröffentlicht diese, sobald sie ausreichend getestet und für tauglich befunden wurde. Damit wird die überarbeitete Kopie zum neuen Original und die mittlerweile veraltete Version des Originals wird automatisch zur aktuellen Kopie, die (im Hintergrund) überarbeitet werden kann. Dies gilt nicht nur für die Dokumente und die Struktur der Website selbst (also das sogenannte „Frontend“), sondern auch für etwaige Datenbanken (das sogenannte „Backend“). Dadurch steht dem Publikum immer eine funktionierende Umgebung zur Interaktion zur Verfügung.

Erreicht das System eine gewisse Komplexität, kann es schon sinnvoll sein beziehungsweise wird es vielleicht sogar notwendig werden, dass man mit mehr als einer Kopie gleichzeitig arbeitet, um ständige Verfügbarkeit zu gewährleisten. In der Programmierung ist „Redundanz“ nicht mit „Verschwendung“ gleichzusetzen. Das Internet, wie wir es heute kennen, wäre ohne Redundanzen kaum mehr denkbar. Niemand glaubt, drei (oder mehr) Sicherungskopien eines Dokuments zu brauchen — bis man sie dann tatsächlich braucht.

Aber man kann auch übertreiben (und damit unbeabsichtigt die eigene Unsicherheit preisgeben). Es ist ja (wahrscheinlich) gut gemeint, dass man den werten Nutzern drei Zutrittsoptionen zum digitalen Amt bieten will, aber auch hier scheint der gute Wille der guten Sache ein wenig im Wege zu stehen. Gut, (noch) nicht alle haben bereits ein ID–Austria–Konto, eine Alternative mit Benutzername und Passwort anzubieten, ist also nicht grundsätzlich verkehrt. Davon abgesehen könnte die digitale Signatur auch einmal ausfallen, dann gäbe es immerhin eine zweite Möglichkeit, sich zu wichtigen Services Zutritt zu verschaffen. Einverstanden, aber wozu braucht man eine dritte Möglichkeit? Weil man weder der eigenen Infrastruktur noch der digitalen Signatur traut? Das ist, als würden wir alle Brieftauben unterhalten, falls doch einmal der Mailserver ausfallen sollte während der Briefträger im Urlaub ist. Nun, vergangene Woche ist — wenn man dieses seltsame Bild weiter ausmalen will — der Mailserver ausgefallen, der Briefträger im Urlaub und die Brieftaube flügellahm gewesen …