- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,282
- Punkte für Reaktionen
- 1,754
- Punkte
- 113
Man stolpert ja bei der Beschäftigung mit dem FRITZ!OS (egal in welcher Version) nahezu zwangsläufig auch mal über ein Problem in der Software, das man selbst erst einmal genauer untersuchen muß, um auch wirklich sicher zu sein, daß es nicht nur am eigenen Unvermögen liegt, was da partout nicht funktionieren will und daß man sich mit einer entsprechenden Fehlermeldung beim Hersteller nicht unsterblich blamiert.
Gut, das mag ab einer gewissen Komplexität eines Fehlers nicht mehr der Fall sein und eigentlich ist das "Support-Versprechen" (wenn auch das unausgeprochene, oder kennt irgendjemand eine "Garantie" von AVM hinsichtlich des zu leistenden Supports, die über die gesetzliche Gewährleistung hinaus geht) des Herstellers ja auch ein Grund, daß die Kunden sich AVM-Geräte anschaffen ... aber trotzdem kann man sich mit:
Aber am Ende wird es immer wieder auch Kunden geben, die tatsächlich ein (objektiv vorhandenes und reproduzierbares) Problem in der Firmware finden ... und dann steht man plötzlich wieder vor der Frage, wie man damit nun umgehen soll.
Klar, man kann es hier berichten ... und irgendwann wird es sich vermutlich auch bis zu AVM herumsprechen. Aber man kann kaum erwarten, daß AVM hier tatsächlich alles mitliest und es dort Mitarbeiter gibt, die hier berichtete Probleme auch direkt dahingehend bewerten können, ob das einfach ein Bedienfehler ist, eine gar nicht realisierte oder geplante Nutzung irgendeiner anderen Funktion oder ob es sich am Ende tatsächlich um einen "echten" Fehler in der Firmware handelt.
Man muß nur mal überlegen, wie oft hier im Board schon Leuten mit dem "Wissen der Community" auch dann noch geholfen werden konnte, wenn der Hersteller-Support schon die Segel gestrichen hatte.
Also muß man sich jetzt überlegen, ob (und wenn ja, wie) man das zusätzlich noch an den Hersteller übermittelt ... dabei kann und darf man aber auch nicht aus den Augen verlieren, wie hier die Interessen von Kunde und Hersteller eigentlich verteilt sein sollten - denn es dürfte schon im vitalen Interesse des Herstellers liegen, soviele Fehler wie möglich aus seiner Firmware zu entfernen, sofern diese Fehler eine gewisse Relevanz aufweisen.
Der Kunde hat hingegen meist schon die eigene Lösung mit irgendeinem Workaround gefunden und hat - mit dem Bericht über das Problem hier im IPPF - auch andere an der Lösung teilhaben lassen (sogar deutlich mehr, als wenn er es direkt an AVM berichtet hätte, wo es dann - wenn es gut läuft - in zwei Jahren behoben wird) und dafür auch entsprechende Arbeit investiert.
Ihm bringt also so eine weitere Fehlermeldung nur zwei Punkte ... erstens den zusätzlichen Aufwand, das auch noch an den Hersteller zu kommunizieren und zweitens, die (eher vage) Hoffnung, daß der Hersteller das Problem auch als solches ansieht und es damit irgendwann mal beseitigen wird - leider bei AVM ja meist eher nicht in der Folgeversion, sondern mehr so "in ein paar Jahren" (wo der Kunde dann vielleicht schon auf andere Hersteller umgeschwenkt sein wird).
Hier hatte ich erst vor kurzem ein "Aha-Erlebnis", als irgendjemandem (ich weiß nicht genau, wer und wo es war, die fehlende Nennung ist also kein böser Wille - und Google hat offenbar noch nicht neu indiziert, zumindest nicht den Thread mit dem Beitrag) der neue WPAD-Filter auffiel, der nach nunmehr immerhin knapp zwei Jahren endlich ein (sicherheitskritisches, zumindest in meinen Augen) Problem behebt, zu dem ich seit der Meldung auch keinerlei Feedback zum Fortgang mehr erhalten habe.
----------------------------------------------------------------------------
Diese Überlegungen hinsichtlich der Interessenverteilung kann ja nun zweifellos auch der Hersteller (konkret eben AVM) anstellen ... das sind ja keine Dummköpfe dort. Das macht es aber in meinen Augen gerade so widersinnig, was AVM hier dem Kunden an "Angeboten" für solche Fälle unterbreitet - denn das läuft (angesichts der Hürden, die AVM vor so einer Fehlermeldung errichtet) ja eher darauf hinaus, die Ausdauer des Kunden erst einmal auf die Probe zu stellen ... vielleicht will man sich damit vergewissern, daß der Kunde dann auch die zusätzlichen Belastungen der "gemeinsamen" Fehlersuche noch überstehen wird?
Denn es geht eigentlich schon damit los, daß es bei AVM dafür irgendwie gar keinen eigenen "Prozess" gibt ... die einzige hier angebotene Möglichkeit der Kontaktaufnahme wäre das (umständliche) Ausfüllen eines Support-Formulars oder das Labor-Feedback.
Doch sogar der Weg zum Support-Formular ist einigermaßen beschwerlich und führt erst über zig Abfragen und Verweise auf die AVM-KB und ist damit offensichtlich für die Übermittlung solcher Fehlermeldungen weder gedacht noch geeignet ... zumindest bei letzterem bin ich mir ganz sicher, auch wenn ich naturgemäß nicht weiß, was sich die Verantwortlichen bei AVM "gedacht" haben mögen.
Aber der Ansatz "Mach' es dem Kunden so schwer wie möglich, seine Fehlerbeschreibung loszuwerden, dann gibt er schon auf ... was er nicht gemeldet hat, gibt es auch nicht." ist sicherlich auch nicht dazu geeignet, bei den Kunden besonderen "Fleiß" hervorzurufen - zumindest nicht mehr, wenn der jugendliche Elan nach mehreren eher niederschmetternden Erlebnissen dann einer gewissen Ernüchterung gewichen ist.
So eine Fehlermeldung für einen festgestellten Software-Fehler ist eben mehr ein "Service" des Kunden für den Hersteller und so sollte es doch eigentlich deutlich eher im Interesse des Herstellers liegen, von dem Problem Kenntnis zu erhalten und es damit auch beheben zu können, als es im Interesse des Kunden liegt, sich zusätzliche Arbeit aufzuhalsen in der - ohnehin häufig genug enttäuschten - Hoffnung, daß sich in der Zukunft irgendetwas in seinem Sinne ändern könnte.
----------------------------------------------------------------------------
Die "Feedback"-Funktion für die Labor-Versionen ist mit dem Erscheinen der Release-Version Geschichte (man kann die betroffene Version gar nicht mehr auswählen/angeben) ... mal ganz abgesehen davon, daß ich auf meine E-Mail an den Datenschutzbeauftragten von AVM (vom 22.08.2018) und meine Fragen zum Einsatz von "surveygizmo.eu" für diese "Umfragen" (wobei die Daten eben auch an den Anbieter dieser Umfragen übermittelt werden und gar nicht direkt an AVM) bis heute noch nicht einmal eine Eingangsbestätigung erhalten habe. Sind hier 14 Tage ergebnislos verstrichen (nächste Woche), geht es weiter zum Berliner Datenschutzbeauftragten als Aufsichtsbehörde.
Das fällt also - für mich jedenfalls - als Weg der Kontaktaufnahme schon mal komplett aus ... einfach aus grundsätzlichen Erwägungen. Wenn ein Hersteller tatsächlich mein Feedback haben möchte, dann erwarte ich entweder die Verarbeitung im Haus dieses Herstellers (und zwar die komplette) oder eine (belastbare) Information über den Umstand, daß meine Daten dabei zwangsläufig mit Dritten geteilt werden - vollkommen unabhängig davon, ob das nun im Rahmen einer Auftragsverarbeitung erfolgt oder nicht.
Zumal es sich hier auch noch im Original wieder um eine amerikanische Firma (Sitz ist in Orlando, iirc) handelt und die Niederlassung in Londen eher ein "Deckmäntelchen" ist (bis zum Brexit ist sie ja noch "innergemeinschaftlich"). Zumindest sieht es "Das Amt für Veröffentlichungen der Europäischen Union" wohl auch nicht "ganz so locker", wenn man sich deren Information zur Nutzung von "surveygizmo" (für eigene Umfragen) mal zu Gemüte führt.
Für mich also ein klares "no-go" ... wer mein Feedback möchte, sollte auch meine Interessen genauso berücksichtigen, wie die eigenen. Tut er das erkennbar nicht (für mich ist das hier der Fall), muß er auf mein Feedback verzichten ... abgesehen davon, daß dieses eben ohnehin nur "während der Entwicklungsphase" an dieser Stelle vorgesehen zu sein scheint, denn für die Release-Versionen geht da gar nichts.
----------------------------------------------------------------------------
Das Supportformular kommt aus (mind.) zwei Gründen auch nicht in Frage für mich - erstens will/brauche ich gar keinen Support, sondern würde AVM nur über einen Fehler in der Firmware informieren wollen (oder zumindest darüber, daß ich mir einbilde, einen solchen gefunden zu haben) und zweitens möchte AVM für einen solchen Support-Fall zwingend meine Kontaktdaten wissen, während ich an weiterer Kommunikation gar nicht wirklich interessiert bin. Neben den Kontaktdaten will man dann auch noch allen möglichen anderen Unfug wissen, der mit einem zu meldenden Problem ja meist ersichtlich in keinem erkennbaren Zusammenhang steht, wie z.B. den Internet-Provider ... es mag ja sein, daß AVM darüber gerne eine Statistik führen möchte, aber der Zusammenhang zwischen dem Internet-Provider und einem zu berichtenden Fehler in der Firmware springt garantiert erst einmal nicht ins Auge.
Und im Gegensatz zu den Fragen hier, wo andere freiwillig und kostenlos Hilfe leisten und dafür auf so viele Informationen wie tragbar und notwendig angewiesen sind, kann man es dem Hersteller-Support tatsächlich zumuten, berichtete Probleme selbst nachzustellen, wenn kein weiteres Kontaktbedürfnis seitens des Kunden besteht (der hat garantiert auch seine Gründe und nur zu oft resultieren diese auch aus schlechten Erfahrungen bei anderen Incidents) - die Ablehnung von zuviel "Datensammelwut" beim Hersteller ist also nicht notwendigerweise ein Widerspruch zur Forderung hier, über Probleme so umfassend wie möglich und unter Berücksichtigung aller möglichen Rahmenbedingungen zu berichten ... zumal wir hier eben auch anonymisierte Daten akzeptieren bzw. allzu freigiebige Fragesteller auch auf mögliche Privacy-Probleme hinweisen.
Ich bin jedenfalls der Ansicht, daß i.d.R. auch eine Fehlerbeschreibung ausreichen sollte, um den Hersteller in die Lage zu versetzen, das Problem einzugrenzen und Gegenmaßnahmen zu ergreifen (den Willen dazu mal unterstellt) - oder eben auch nicht, denn wie oft habe ich schon vollkommen unbefriedigende Antworten erhalten und ich bin bestimmt nicht der Einzige, der mit "Ich habe Ihren Vorschlag an unsere Entwicklungsabteilung weitergeleitet. Bitte haben Sie Verständnis ... blabla" die Wände tapezieren könnte, obwohl der Inhalt der eigenen Meldung alles mögliche war, aber garantiert kein "Vorschlag".
Da muß ich mir jedenfalls dann nicht noch vom Hersteller nach dessen Gusto Kommunikation aufdrängeln lassen - das wäre bei "nachvollziehbaren Richtlinien" zur Kommunikation (auf die man sich dann auch als Kunde mal berufen könnte, wenn man sich nur noch verarscht vorkommt) vielleicht wieder etwas anderes.
----------------------------------------------------------------------------
Ansonsten ist das bei mir aber inzwischen reine Gewohnheit, daß solche Meldungen "Einbahnstraßen" sind, weil die "Sprachlosigkeit" das "übliche Verhalten" von AVM im Zusammenhang mit gemeldeten Software-Fehlern ist (Security-Threats nehme ich mal in besonderen Fällen aus, wobei auch da die Erfahrungen durchaus gemischt sind) und ich es zumeist nicht anders kenne von AVM, auch wenn andere abweichende Erfahrungen gemacht haben werden.
Ja, eigentlich geht es bei AVM sogar bei sicherheitsrelevanten Meldungen nach diesem Schema, daß man selbst die "Spielregeln" vorgeben will und man macht dort auch gar kein Hehl daraus. Wer sich das hier auf der Seite https://avm.de/service/sicherheitsinfos-zu-updates/ zu Gemüte führt:
Wenn man auf dem Schulhof allen anderen immer die eigenen Regeln aufoktroyieren will, muß man sich am Ende nicht wundern, wenn man alleine spielen muß, weil niemand mehr etwas mit einem zu tun haben will - und um das wieder in die "Welt der Erwachsenen" zu übertragen: Dafür gibt es nun mal sogenannte "best practices" und wenn das eigene Verhalten diesen praktisch diametral entgegensteht, muß man sich eben die "Gruppen", die da auf beiden Seiten vertreten sind, ganz genau ansehen und für sich selbst entscheiden, welcher man sich eher zugehörig fühlt.
----------------------------------------------------------------------------
Meine eigene Konsequenz daraus ist, daß ich AVM nur noch ganz kurz über Feststellungen informiere, die ich an anderer Stelle beschrieben habe (i.d.R. hier im IPPF, ggf. auch im Repository) und daß ich es bei erkannten Lücken auch nur noch selbst in die Hand nehme, die Relevanz und Gefährlichkeit einzuschätzen.
Dabei kann ich zweifellos auch mal danebenliegen ... aber angesichts der bisherigen Erfahrungen in der Kommunikation mit AVM lohnt es sich einfach nicht, dieselbe Arbeit mehr als einmal zu machen und AVM "vertraulich" vorab zu informieren - sofern eine Brisanz nicht deutlich erkennbar ist, wie es bei extern auszunutzenden Lücken der Fall ist.
Am Ende hat man sich das bei AVM dann auch selbst zuzuschreiben, wenn Außenstehende (da sie - nach meiner Erfahrung - keinerlei sinnvolle Unterstützung von AVM bei der Beurteilung erhalten) Probleme veröffentlichen, die AVM noch nicht gefixt hat und über die am Ende die Kunden angreifbar werden.
----------------------------------------------------------------------------
Das wäre auch wieder der Kreis zum Titel, der sich hier schließt ... habe wirklich nur ich überwiegend negative Erfahrungen mit dem (E-Mail-)Support von AVM gemacht? Ich will nicht verhehlen, daß es auch positive Ausreißer und entsprechende freudige Überraschungen gab ... aber insgesamt ist die Bilanz, die ich ziehen würde aus eigenen Kontakten und aus Meldungen, wo ich andere nur beim Kontakt zu AVM unterstützt habe, eher negativ.
Den telefonischen Support von AVM kann ich selbst gar nicht einschätzen ... Anrufe sind nichts für mich. Erstens werde ich nach fünf Minuten Warteschleife aggressiv (in der Zeit könnte ich mich auch zum Support-Formular auf der Webseite durchkämpfen) und spätestens wenn jemand am anderen Ende der Leitung anfängt, nur noch irgendwelchen Unsinn zu erzählen, weil er absolut ins Schwimmen kommt und nicht die Traute hat, das auch zuzugeben und ein Problem zu eskalieren, dann habe ich die Geduld endgültig verloren ... wie gesagt, bitte immer im Kontext der Fehlermeldung sehen und nicht unter dem Aspekt, daß ich irgendetwas vom Support will. Außer vielleicht meinem Bestreben, daß man bei AVM Kenntnis von einem Problem erhält ... was aber nur ein gewisses Maß an Hindernissen, die dabei vor mir aufgetürmt werden, übersteht.
----------------------------------------------------------------------------
Wenn meine Fehlerbeschreibungen wirklich nicht ausreichend erscheinen, muß der Hersteller eben damit leben und sich selbst überlegen, ob er der Sache nachgehen möchte oder nicht oder ob er den Kontakt und die Meldung in der Rundablage entsorgt - das geschieht oft genug (gerne auch noch mit freundlichen Worten garniert, damit der Kunde sich "gepampert" sieht) auch dann, wenn der Kunde Kontaktdaten angegeben hat.
Wenn er mir hier erst gar keine Möglichkeit bietet, ihn "anonym" zu kontaktieren und über solche Probleme zu informieren, dann lasse ich es eben sein - der Hersteller kann sicherlich bei einem "echten" Support-Incident davon ausgehen, daß der Kunde auch ein Interesse an weiterer Kommunikation hat und die Zeit dafür aufbringt - das ist bei solchen Fehlermeldungen aber genau nicht der Fall und das meine ich auch, wenn ich schreibe, daß es dafür bei AVM gar keinen "Prozess" gäbe.
Bei jeder Meldung, die man an AVM herantragen will (bis hin zur Meldung von Sicherheitsproblemen), gewinnt man eher den Eindruck, daß AVM der Ansicht ist, man täte dort dem Meldenden einen Gefallen, daß man sich überhaupt mit seinem "Anliegen" befaßt und davon Notiz nimmt ... wenn das die richtige Haltung (nochmal deutlich, bei diesen konkreten Interessenlagen - ich rede nicht von einem Kunden, der irgendwelche Hilfen bei der Konfiguration seiner FRITZ!Box braucht) sein soll, muß man sich über "Unlust" bei den Kunden nicht wirklich wundern.
----------------------------------------------------------------------------
Denn ich habe es auf der anderen Seite eben auch schon oft genug erlebt (und gebe schon lange keine "normalen" Meldungen unter eigenem Namen mehr ab, sondern wenn dann im Namen von Kunden), daß der Support (vermutlich beim "Sortieren" der eingehenden Fälle) ohne jedweden nachvollziehbaren Grund nach den Support-Daten verlangte (und ich denke mal, ich weiß - zumindest grob - was da tatsächlich enthalten ist) und wehe, dann war irgendetwas von "Vom Hersteller nicht unterstützten Änderungen" zu lesen ... dann ging das Visier so schnell herunter (egal, wie groß die Wahrscheinlichkeit war, daß es einen Zusammenhang zum Problem geben könnte), daß man nur noch von "Abwimmeln" schreiben kann.
Damit kommt für mich die "Zwei-Wege-Kommunikation" an dieser Stelle ohnehin nicht in Frage ... solange sie nicht "der Normalfall" ist und man sich tatsächlich bei AVM auch jedes Problems mit derselben Ernsthaftigkeit annimmt und der Kunde auch eine reproduzierbare(!) Behandlung erfährt - was natürlich entsprechende Support-Richtlinien voraussetzt, bei denen die Mitarbeiter nach Regeln arbeiten und nicht nach Lust und Laune. Jetzt kann ja mal jeder überlegen, wie lange er - sofern er das jemals schaffte - gebraucht hat, bis sein Problem die "ersten Hürden" genommen hatte.
Wenn dann jemand AVM auf einen Fehler in der Software aufmerksam macht und im Gegenzug soll er erst einmal die Support-Daten liefern, weil da der "Posteingang" nach Schema F sortiert wurde, dann ist das - in meinen Augen - einfach ungehörig und zeigt das fehlende Interesse an der Problemlösung. Warum sollte der Kunde da dann "bei der Stange bleiben"?
Hier macht der Kunde die Arbeit des Herstellers und anstatt sich einfach mal selbst auf die Suche zu machen und das Problem nachzustellen, halst man dem Kunden mit der (pauschalen) Forderung nach den Support-Daten erst einmal zusätzliche Arbeit auf und will außerdem von ihm noch jede Menge - auch schützenswerter - Daten haben.
----------------------------------------------------------------------------
Denn die "Support-Daten" sind natürlich keinesfalls genauso anonymisiert wie die Telemetrie-Daten - und obwohl die Support-Daten tatsächlich intern bereits seit langem "gegliedert" sind bei der Zusammenstellung (das ist ein Shell-Skript, welches seinerseits weitere aufruft und deren Ausgaben sammelt), hat es AVM bis heute noch nicht geschafft, diese Unterteilung auch bis ins GUI fortzuführen und den Umfang der tatsächlich erstellten Datei durch den Nutzer sinnvoll einschränken zu lassen anhand des konkreten Problems.
Ich muß eben für die Meldung, daß eine DynDNS-Aktualisierung nicht funktioniert, AVM nicht auch noch mit den Informationen zu sämtlichen WLAN-Clients versorgen, die sich in meinem Netz jemals angemeldet hatten und deren Daten ich noch nicht "entsorgt" habe - ein automatisches Bereinigen solcher Punkte vor dem Erstellen der Support-Daten gibt es eben auch nicht.
----------------------------------------------------------------------------
Es ist mir bis heute auch noch nicht gelungen, in den Datenschutzerklärungen von AVM irgendeine belastbare Aussage zur Speicherdauer von solchen Support-Anfragen und dabei zusätzlich gesammelten Daten zu finden ... der Passus
Gut, das mag ab einer gewissen Komplexität eines Fehlers nicht mehr der Fall sein und eigentlich ist das "Support-Versprechen" (wenn auch das unausgeprochene, oder kennt irgendjemand eine "Garantie" von AVM hinsichtlich des zu leistenden Supports, die über die gesetzliche Gewährleistung hinaus geht) des Herstellers ja auch ein Grund, daß die Kunden sich AVM-Geräte anschaffen ... aber trotzdem kann man sich mit:
ja auch schnell "unbeliebt" machen.K: "Meine FRITZ!Box geht nicht."
S: "Haben Sie schon mal geschaut, ob die LEDs am Gerät leuchten?"
K: "OK, plötzlich geht sie wieder ... aber vor einer Stunde war das ganz sicher noch ein Fehler im neuen FRITZ!OS 7, denn außer dem Update wurde hier seit fünf Jahren nichts mehr geändert. Vermutlich gab es in der letzten Stunde ein neues Update."
Aber am Ende wird es immer wieder auch Kunden geben, die tatsächlich ein (objektiv vorhandenes und reproduzierbares) Problem in der Firmware finden ... und dann steht man plötzlich wieder vor der Frage, wie man damit nun umgehen soll.
Klar, man kann es hier berichten ... und irgendwann wird es sich vermutlich auch bis zu AVM herumsprechen. Aber man kann kaum erwarten, daß AVM hier tatsächlich alles mitliest und es dort Mitarbeiter gibt, die hier berichtete Probleme auch direkt dahingehend bewerten können, ob das einfach ein Bedienfehler ist, eine gar nicht realisierte oder geplante Nutzung irgendeiner anderen Funktion oder ob es sich am Ende tatsächlich um einen "echten" Fehler in der Firmware handelt.
Man muß nur mal überlegen, wie oft hier im Board schon Leuten mit dem "Wissen der Community" auch dann noch geholfen werden konnte, wenn der Hersteller-Support schon die Segel gestrichen hatte.
Also muß man sich jetzt überlegen, ob (und wenn ja, wie) man das zusätzlich noch an den Hersteller übermittelt ... dabei kann und darf man aber auch nicht aus den Augen verlieren, wie hier die Interessen von Kunde und Hersteller eigentlich verteilt sein sollten - denn es dürfte schon im vitalen Interesse des Herstellers liegen, soviele Fehler wie möglich aus seiner Firmware zu entfernen, sofern diese Fehler eine gewisse Relevanz aufweisen.
Der Kunde hat hingegen meist schon die eigene Lösung mit irgendeinem Workaround gefunden und hat - mit dem Bericht über das Problem hier im IPPF - auch andere an der Lösung teilhaben lassen (sogar deutlich mehr, als wenn er es direkt an AVM berichtet hätte, wo es dann - wenn es gut läuft - in zwei Jahren behoben wird) und dafür auch entsprechende Arbeit investiert.
Ihm bringt also so eine weitere Fehlermeldung nur zwei Punkte ... erstens den zusätzlichen Aufwand, das auch noch an den Hersteller zu kommunizieren und zweitens, die (eher vage) Hoffnung, daß der Hersteller das Problem auch als solches ansieht und es damit irgendwann mal beseitigen wird - leider bei AVM ja meist eher nicht in der Folgeversion, sondern mehr so "in ein paar Jahren" (wo der Kunde dann vielleicht schon auf andere Hersteller umgeschwenkt sein wird).
Hier hatte ich erst vor kurzem ein "Aha-Erlebnis", als irgendjemandem (ich weiß nicht genau, wer und wo es war, die fehlende Nennung ist also kein böser Wille - und Google hat offenbar noch nicht neu indiziert, zumindest nicht den Thread mit dem Beitrag) der neue WPAD-Filter auffiel, der nach nunmehr immerhin knapp zwei Jahren endlich ein (sicherheitskritisches, zumindest in meinen Augen) Problem behebt, zu dem ich seit der Meldung auch keinerlei Feedback zum Fortgang mehr erhalten habe.
----------------------------------------------------------------------------
Diese Überlegungen hinsichtlich der Interessenverteilung kann ja nun zweifellos auch der Hersteller (konkret eben AVM) anstellen ... das sind ja keine Dummköpfe dort. Das macht es aber in meinen Augen gerade so widersinnig, was AVM hier dem Kunden an "Angeboten" für solche Fälle unterbreitet - denn das läuft (angesichts der Hürden, die AVM vor so einer Fehlermeldung errichtet) ja eher darauf hinaus, die Ausdauer des Kunden erst einmal auf die Probe zu stellen ... vielleicht will man sich damit vergewissern, daß der Kunde dann auch die zusätzlichen Belastungen der "gemeinsamen" Fehlersuche noch überstehen wird?
Denn es geht eigentlich schon damit los, daß es bei AVM dafür irgendwie gar keinen eigenen "Prozess" gibt ... die einzige hier angebotene Möglichkeit der Kontaktaufnahme wäre das (umständliche) Ausfüllen eines Support-Formulars oder das Labor-Feedback.
Doch sogar der Weg zum Support-Formular ist einigermaßen beschwerlich und führt erst über zig Abfragen und Verweise auf die AVM-KB und ist damit offensichtlich für die Übermittlung solcher Fehlermeldungen weder gedacht noch geeignet ... zumindest bei letzterem bin ich mir ganz sicher, auch wenn ich naturgemäß nicht weiß, was sich die Verantwortlichen bei AVM "gedacht" haben mögen.
Aber der Ansatz "Mach' es dem Kunden so schwer wie möglich, seine Fehlerbeschreibung loszuwerden, dann gibt er schon auf ... was er nicht gemeldet hat, gibt es auch nicht." ist sicherlich auch nicht dazu geeignet, bei den Kunden besonderen "Fleiß" hervorzurufen - zumindest nicht mehr, wenn der jugendliche Elan nach mehreren eher niederschmetternden Erlebnissen dann einer gewissen Ernüchterung gewichen ist.
So eine Fehlermeldung für einen festgestellten Software-Fehler ist eben mehr ein "Service" des Kunden für den Hersteller und so sollte es doch eigentlich deutlich eher im Interesse des Herstellers liegen, von dem Problem Kenntnis zu erhalten und es damit auch beheben zu können, als es im Interesse des Kunden liegt, sich zusätzliche Arbeit aufzuhalsen in der - ohnehin häufig genug enttäuschten - Hoffnung, daß sich in der Zukunft irgendetwas in seinem Sinne ändern könnte.
----------------------------------------------------------------------------
Die "Feedback"-Funktion für die Labor-Versionen ist mit dem Erscheinen der Release-Version Geschichte (man kann die betroffene Version gar nicht mehr auswählen/angeben) ... mal ganz abgesehen davon, daß ich auf meine E-Mail an den Datenschutzbeauftragten von AVM (vom 22.08.2018) und meine Fragen zum Einsatz von "surveygizmo.eu" für diese "Umfragen" (wobei die Daten eben auch an den Anbieter dieser Umfragen übermittelt werden und gar nicht direkt an AVM) bis heute noch nicht einmal eine Eingangsbestätigung erhalten habe. Sind hier 14 Tage ergebnislos verstrichen (nächste Woche), geht es weiter zum Berliner Datenschutzbeauftragten als Aufsichtsbehörde.
Das fällt also - für mich jedenfalls - als Weg der Kontaktaufnahme schon mal komplett aus ... einfach aus grundsätzlichen Erwägungen. Wenn ein Hersteller tatsächlich mein Feedback haben möchte, dann erwarte ich entweder die Verarbeitung im Haus dieses Herstellers (und zwar die komplette) oder eine (belastbare) Information über den Umstand, daß meine Daten dabei zwangsläufig mit Dritten geteilt werden - vollkommen unabhängig davon, ob das nun im Rahmen einer Auftragsverarbeitung erfolgt oder nicht.
Zumal es sich hier auch noch im Original wieder um eine amerikanische Firma (Sitz ist in Orlando, iirc) handelt und die Niederlassung in Londen eher ein "Deckmäntelchen" ist (bis zum Brexit ist sie ja noch "innergemeinschaftlich"). Zumindest sieht es "Das Amt für Veröffentlichungen der Europäischen Union" wohl auch nicht "ganz so locker", wenn man sich deren Information zur Nutzung von "surveygizmo" (für eigene Umfragen) mal zu Gemüte führt.
Für mich also ein klares "no-go" ... wer mein Feedback möchte, sollte auch meine Interessen genauso berücksichtigen, wie die eigenen. Tut er das erkennbar nicht (für mich ist das hier der Fall), muß er auf mein Feedback verzichten ... abgesehen davon, daß dieses eben ohnehin nur "während der Entwicklungsphase" an dieser Stelle vorgesehen zu sein scheint, denn für die Release-Versionen geht da gar nichts.
----------------------------------------------------------------------------
Das Supportformular kommt aus (mind.) zwei Gründen auch nicht in Frage für mich - erstens will/brauche ich gar keinen Support, sondern würde AVM nur über einen Fehler in der Firmware informieren wollen (oder zumindest darüber, daß ich mir einbilde, einen solchen gefunden zu haben) und zweitens möchte AVM für einen solchen Support-Fall zwingend meine Kontaktdaten wissen, während ich an weiterer Kommunikation gar nicht wirklich interessiert bin. Neben den Kontaktdaten will man dann auch noch allen möglichen anderen Unfug wissen, der mit einem zu meldenden Problem ja meist ersichtlich in keinem erkennbaren Zusammenhang steht, wie z.B. den Internet-Provider ... es mag ja sein, daß AVM darüber gerne eine Statistik führen möchte, aber der Zusammenhang zwischen dem Internet-Provider und einem zu berichtenden Fehler in der Firmware springt garantiert erst einmal nicht ins Auge.
Und im Gegensatz zu den Fragen hier, wo andere freiwillig und kostenlos Hilfe leisten und dafür auf so viele Informationen wie tragbar und notwendig angewiesen sind, kann man es dem Hersteller-Support tatsächlich zumuten, berichtete Probleme selbst nachzustellen, wenn kein weiteres Kontaktbedürfnis seitens des Kunden besteht (der hat garantiert auch seine Gründe und nur zu oft resultieren diese auch aus schlechten Erfahrungen bei anderen Incidents) - die Ablehnung von zuviel "Datensammelwut" beim Hersteller ist also nicht notwendigerweise ein Widerspruch zur Forderung hier, über Probleme so umfassend wie möglich und unter Berücksichtigung aller möglichen Rahmenbedingungen zu berichten ... zumal wir hier eben auch anonymisierte Daten akzeptieren bzw. allzu freigiebige Fragesteller auch auf mögliche Privacy-Probleme hinweisen.
Ich bin jedenfalls der Ansicht, daß i.d.R. auch eine Fehlerbeschreibung ausreichen sollte, um den Hersteller in die Lage zu versetzen, das Problem einzugrenzen und Gegenmaßnahmen zu ergreifen (den Willen dazu mal unterstellt) - oder eben auch nicht, denn wie oft habe ich schon vollkommen unbefriedigende Antworten erhalten und ich bin bestimmt nicht der Einzige, der mit "Ich habe Ihren Vorschlag an unsere Entwicklungsabteilung weitergeleitet. Bitte haben Sie Verständnis ... blabla" die Wände tapezieren könnte, obwohl der Inhalt der eigenen Meldung alles mögliche war, aber garantiert kein "Vorschlag".
Da muß ich mir jedenfalls dann nicht noch vom Hersteller nach dessen Gusto Kommunikation aufdrängeln lassen - das wäre bei "nachvollziehbaren Richtlinien" zur Kommunikation (auf die man sich dann auch als Kunde mal berufen könnte, wenn man sich nur noch verarscht vorkommt) vielleicht wieder etwas anderes.
----------------------------------------------------------------------------
Ansonsten ist das bei mir aber inzwischen reine Gewohnheit, daß solche Meldungen "Einbahnstraßen" sind, weil die "Sprachlosigkeit" das "übliche Verhalten" von AVM im Zusammenhang mit gemeldeten Software-Fehlern ist (Security-Threats nehme ich mal in besonderen Fällen aus, wobei auch da die Erfahrungen durchaus gemischt sind) und ich es zumeist nicht anders kenne von AVM, auch wenn andere abweichende Erfahrungen gemacht haben werden.
Ja, eigentlich geht es bei AVM sogar bei sicherheitsrelevanten Meldungen nach diesem Schema, daß man selbst die "Spielregeln" vorgeben will und man macht dort auch gar kein Hehl daraus. Wer sich das hier auf der Seite https://avm.de/service/sicherheitsinfos-zu-updates/ zu Gemüte führt:
, der möge selbst einschätzen, welchen Anreiz für eine Meldung an AVM (und es geht hier ausdrücklich um Sicherheitsprobleme) man aus der Ankündigung ziehen soll, daß AVM das ggf. gar nicht erst richtig liest und versteht - denn das ist der Kern von "bitten wir um Verständnis". Die Entscheidung, ob das relevant ist oder nicht, ob es gefixt wird oder nicht und wie das nun weitergeht, trifft ausschließlich AVM selbst ... das ist von "responsible disclosure" oder "coordinated disclosure" so weit entfernt, wie Los Angeles vom AVM-Firmensitz.Melden von Sicherheitsthemen
Haben Sie Anregungen, wie wir die Sicherheit unserer Produkte noch verbessern können? Dann schreiben Sie uns bitte an [email protected]. Sollten Nachfragen entstehen, melden wir uns bei Ihnen unter der von Ihnen verwendeten E-Mail-Adresse, andernfalls bitten wir um Verständnis, dass keine individuelle Antwort erfolgt.
Wenn man auf dem Schulhof allen anderen immer die eigenen Regeln aufoktroyieren will, muß man sich am Ende nicht wundern, wenn man alleine spielen muß, weil niemand mehr etwas mit einem zu tun haben will - und um das wieder in die "Welt der Erwachsenen" zu übertragen: Dafür gibt es nun mal sogenannte "best practices" und wenn das eigene Verhalten diesen praktisch diametral entgegensteht, muß man sich eben die "Gruppen", die da auf beiden Seiten vertreten sind, ganz genau ansehen und für sich selbst entscheiden, welcher man sich eher zugehörig fühlt.
----------------------------------------------------------------------------
Meine eigene Konsequenz daraus ist, daß ich AVM nur noch ganz kurz über Feststellungen informiere, die ich an anderer Stelle beschrieben habe (i.d.R. hier im IPPF, ggf. auch im Repository) und daß ich es bei erkannten Lücken auch nur noch selbst in die Hand nehme, die Relevanz und Gefährlichkeit einzuschätzen.
Dabei kann ich zweifellos auch mal danebenliegen ... aber angesichts der bisherigen Erfahrungen in der Kommunikation mit AVM lohnt es sich einfach nicht, dieselbe Arbeit mehr als einmal zu machen und AVM "vertraulich" vorab zu informieren - sofern eine Brisanz nicht deutlich erkennbar ist, wie es bei extern auszunutzenden Lücken der Fall ist.
Am Ende hat man sich das bei AVM dann auch selbst zuzuschreiben, wenn Außenstehende (da sie - nach meiner Erfahrung - keinerlei sinnvolle Unterstützung von AVM bei der Beurteilung erhalten) Probleme veröffentlichen, die AVM noch nicht gefixt hat und über die am Ende die Kunden angreifbar werden.
----------------------------------------------------------------------------
Das wäre auch wieder der Kreis zum Titel, der sich hier schließt ... habe wirklich nur ich überwiegend negative Erfahrungen mit dem (E-Mail-)Support von AVM gemacht? Ich will nicht verhehlen, daß es auch positive Ausreißer und entsprechende freudige Überraschungen gab ... aber insgesamt ist die Bilanz, die ich ziehen würde aus eigenen Kontakten und aus Meldungen, wo ich andere nur beim Kontakt zu AVM unterstützt habe, eher negativ.
Den telefonischen Support von AVM kann ich selbst gar nicht einschätzen ... Anrufe sind nichts für mich. Erstens werde ich nach fünf Minuten Warteschleife aggressiv (in der Zeit könnte ich mich auch zum Support-Formular auf der Webseite durchkämpfen) und spätestens wenn jemand am anderen Ende der Leitung anfängt, nur noch irgendwelchen Unsinn zu erzählen, weil er absolut ins Schwimmen kommt und nicht die Traute hat, das auch zuzugeben und ein Problem zu eskalieren, dann habe ich die Geduld endgültig verloren ... wie gesagt, bitte immer im Kontext der Fehlermeldung sehen und nicht unter dem Aspekt, daß ich irgendetwas vom Support will. Außer vielleicht meinem Bestreben, daß man bei AVM Kenntnis von einem Problem erhält ... was aber nur ein gewisses Maß an Hindernissen, die dabei vor mir aufgetürmt werden, übersteht.
----------------------------------------------------------------------------
Wenn meine Fehlerbeschreibungen wirklich nicht ausreichend erscheinen, muß der Hersteller eben damit leben und sich selbst überlegen, ob er der Sache nachgehen möchte oder nicht oder ob er den Kontakt und die Meldung in der Rundablage entsorgt - das geschieht oft genug (gerne auch noch mit freundlichen Worten garniert, damit der Kunde sich "gepampert" sieht) auch dann, wenn der Kunde Kontaktdaten angegeben hat.
Wenn er mir hier erst gar keine Möglichkeit bietet, ihn "anonym" zu kontaktieren und über solche Probleme zu informieren, dann lasse ich es eben sein - der Hersteller kann sicherlich bei einem "echten" Support-Incident davon ausgehen, daß der Kunde auch ein Interesse an weiterer Kommunikation hat und die Zeit dafür aufbringt - das ist bei solchen Fehlermeldungen aber genau nicht der Fall und das meine ich auch, wenn ich schreibe, daß es dafür bei AVM gar keinen "Prozess" gäbe.
Bei jeder Meldung, die man an AVM herantragen will (bis hin zur Meldung von Sicherheitsproblemen), gewinnt man eher den Eindruck, daß AVM der Ansicht ist, man täte dort dem Meldenden einen Gefallen, daß man sich überhaupt mit seinem "Anliegen" befaßt und davon Notiz nimmt ... wenn das die richtige Haltung (nochmal deutlich, bei diesen konkreten Interessenlagen - ich rede nicht von einem Kunden, der irgendwelche Hilfen bei der Konfiguration seiner FRITZ!Box braucht) sein soll, muß man sich über "Unlust" bei den Kunden nicht wirklich wundern.
----------------------------------------------------------------------------
Denn ich habe es auf der anderen Seite eben auch schon oft genug erlebt (und gebe schon lange keine "normalen" Meldungen unter eigenem Namen mehr ab, sondern wenn dann im Namen von Kunden), daß der Support (vermutlich beim "Sortieren" der eingehenden Fälle) ohne jedweden nachvollziehbaren Grund nach den Support-Daten verlangte (und ich denke mal, ich weiß - zumindest grob - was da tatsächlich enthalten ist) und wehe, dann war irgendetwas von "Vom Hersteller nicht unterstützten Änderungen" zu lesen ... dann ging das Visier so schnell herunter (egal, wie groß die Wahrscheinlichkeit war, daß es einen Zusammenhang zum Problem geben könnte), daß man nur noch von "Abwimmeln" schreiben kann.
Damit kommt für mich die "Zwei-Wege-Kommunikation" an dieser Stelle ohnehin nicht in Frage ... solange sie nicht "der Normalfall" ist und man sich tatsächlich bei AVM auch jedes Problems mit derselben Ernsthaftigkeit annimmt und der Kunde auch eine reproduzierbare(!) Behandlung erfährt - was natürlich entsprechende Support-Richtlinien voraussetzt, bei denen die Mitarbeiter nach Regeln arbeiten und nicht nach Lust und Laune. Jetzt kann ja mal jeder überlegen, wie lange er - sofern er das jemals schaffte - gebraucht hat, bis sein Problem die "ersten Hürden" genommen hatte.
Wenn dann jemand AVM auf einen Fehler in der Software aufmerksam macht und im Gegenzug soll er erst einmal die Support-Daten liefern, weil da der "Posteingang" nach Schema F sortiert wurde, dann ist das - in meinen Augen - einfach ungehörig und zeigt das fehlende Interesse an der Problemlösung. Warum sollte der Kunde da dann "bei der Stange bleiben"?
Hier macht der Kunde die Arbeit des Herstellers und anstatt sich einfach mal selbst auf die Suche zu machen und das Problem nachzustellen, halst man dem Kunden mit der (pauschalen) Forderung nach den Support-Daten erst einmal zusätzliche Arbeit auf und will außerdem von ihm noch jede Menge - auch schützenswerter - Daten haben.
----------------------------------------------------------------------------
Denn die "Support-Daten" sind natürlich keinesfalls genauso anonymisiert wie die Telemetrie-Daten - und obwohl die Support-Daten tatsächlich intern bereits seit langem "gegliedert" sind bei der Zusammenstellung (das ist ein Shell-Skript, welches seinerseits weitere aufruft und deren Ausgaben sammelt), hat es AVM bis heute noch nicht geschafft, diese Unterteilung auch bis ins GUI fortzuführen und den Umfang der tatsächlich erstellten Datei durch den Nutzer sinnvoll einschränken zu lassen anhand des konkreten Problems.
Ich muß eben für die Meldung, daß eine DynDNS-Aktualisierung nicht funktioniert, AVM nicht auch noch mit den Informationen zu sämtlichen WLAN-Clients versorgen, die sich in meinem Netz jemals angemeldet hatten und deren Daten ich noch nicht "entsorgt" habe - ein automatisches Bereinigen solcher Punkte vor dem Erstellen der Support-Daten gibt es eben auch nicht.
----------------------------------------------------------------------------
Es ist mir bis heute auch noch nicht gelungen, in den Datenschutzerklärungen von AVM irgendeine belastbare Aussage zur Speicherdauer von solchen Support-Anfragen und dabei zusätzlich gesammelten Daten zu finden ... der Passus
läßt jedenfalls noch jede Menge Schlupflöcher sowohl bei der Behandlung von Support-Anfragen als auch für die im Rahmen der Bearbeitung dabei erhobenen Daten.https://avm.de/datenschutz/ schrieb:Die Daten werden grundsätzlich gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten aus der Eingabemaske des Kontaktformulars und diejenigen, die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die jeweilige Kommunikation mit dem Nutzer beendet und/oder die Anfrage des Nutzers abschließend beantwortet wurde. Beendet ist die Kommunikation dann beziehungsweise es liegt eine abschließende Beantwortung vor, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist. Anstelle einer Löschung tritt eine Speicherung mit Sperrung, soweit eine weitere Speicherung der Daten aus den in Ziffer III.5 genannten Gründen erforderlich ist.
- Werden die Support-Anfragen nun komplett gelöscht, wenn der Kunde seinerseits per E-Mail bestätigt, daß das Problem erledigt ist?
- Was passiert mit der Support-Anfrage genau, wenn der Kunde sich nicht neuerlich zur AVM-Antwort äußert? Wann werden die dann gelöscht?
- Was passiert mit den zusätzlichen, per se nicht als personenbezogen zu erkennenden Daten (dazu gehören auch MAC-Adressen von Smartphones, etc. aus den Support-Daten), die im Zuge der Bearbeitung erhoben wurden?
- Sieht AVM selbst die Support-Daten überhaupt insoweit als schützenswert an, daß man sie als "personenbezogen" einordnet?